Propust u ChatGPT-u omogućavao curenje razgovora korisnika

Vesti, 31.03.2026, 13:30 PM

Istraživači iz Check Point Research otkrili su ranjivost u ChatGPT-u koja je mogla omogućiti napadačima da izvuku osetljive podatke iz razgovora, uz pomoć jednog zlonamernog upita.

Greška je mogla da dovede do curenja informacija koje korisnici dele sa četbotom, uključujući lične poruke, sadržaj otpremljenih dokumenata i zaključke generisane od strane veštačke inteligencije, bez ikakvog upozorenja ili odobrenja korisnika.

Napad se oslanjao na socijalni inženjering - zlonamerni upit mogao je biti sakriven u sadržaju koji izgleda legitimno, poput saveta za produktivnost ili šablona za rad.

Kada bi korisnik uneo takav upit, svaka naredna poruka u razgovoru postajala je potencijalni izvor curenja podataka. Napadači su mogli prikupljati korisničke unose, tekst izvučen iz otpremljenih fajlova i zaključke koje je generisala veštačka inteligencija.

U demonstraciji, istraživači su kreirali četbot koji se predstavlja kao lični lekar. Nakon što je korisnik otpremio dokument koji sadrži rezultate medicinskih testova i zatražio analizu, sistem je generisao odgovor, ali su istovremeno ključne informacije, uključujući identitet pacijenta i medicinsku procenu četbota, mogle biti poslate van platforme, bez znanja korisnika.

Ipak, kada je direktno pitan, sistem je naznačio da nisu deljeni nikakvi podaci.

ChatGPT je dizajniran tako da podaci napuštaju sistem samo uz znanje i odobrenje korisnika, kao što je kada se četbot poveže sa spoljnom uslugom.

Istraživači su rekli da je ranjivost omogućila informacijama da u potpunosti zaobiđu te zaštitne mere.

Pošto sistem nije prepoznao aktivnost kao podatke koji napuštaju platformu, „curenje nije pokrenulo upozorenja, nije zahtevalo potvrdu korisnika i ostalo je uglavnom nevidljivo iz perspektive korisnika“, dodaje se u izveštaju.

Ranjivost je proistekla iz načina na koji ChatGPT obrađuje zadatke kao što su analiza fajlova i izvršavanje koda u izolovanom okruženju.

Iako su direktni kanali komunikacije bili blokirani, DNS rezolucija je ostala dostupna jer se ne smatra klasičnim prenosom podataka. Napadači su iskoristili taj mehanizam tako što su kodirali fragmente informacija u DNS zahteve, koje su potom mogli rekonstruisati na svojoj infrastrukturi, bez detekcije i bez aktiviranja bezbednosnih upozorenja.

Kako navode istraživači, problem nije bio samo u implementaciji zaštite, već u njenom konceptu: sistemi su fokusirani na nameru upita, dok napadi ciljaju ponašanje infrastrukture.

Ista tehnika mogla je biti implementirana i kroz prilagođene verzije četbotova (custom GPTs). U tom scenariju, korisnik ne bi morao ni da unese zlonamerni upit - sama interakcija sa kompromitovanim četbotom bila bi dovoljna za izlaganje podataka.

Istraživači su takođe pokazali da se ovaj kanal može koristiti i za slanje komandi i primanje odgovora, što otvara mogućnost ograničenog daljinskog pristupa okruženju koje se koristi za izvršavanje koda.

Propust je odgovorno prijavljen, a OpenAI je potvrdio da je problem već bio interno identifikovan. Zakrpa je implementirana 20. februara, čime je zatvoren nepredviđeni komunikacioni kanal. Za sada nema dokaza o zloupotrebi u realnim napadima.

Incident, međutim, ukazuje na širi izazov u bezbednosti AI sistema.

Kako ističu iz Check Point Research, „AI zaštite se često fokusiraju na pravila i nameru, dok napadači ciljaju infrastrukturu i ponašanje.“

Drugim rečima, u eri veštačke inteligencije, pretpostavka da su AI alati bezbedni po defaultu postaje sve rizičnija.