ثغرة في ChatGPT تسمح للمهاجمين باستخراج بيانات المستخدم الحساسة بشكل خفي

يثق المستخدمون عادةً في المساعدات الذكية بمعلومات شديدة الحساسية، بما في ذلك السجلات الطبية، والوثائق المالية، وأكواد الأعمال الخاصة.

كشفت شركة Check Point Research مؤخرًا عن ثغرة خطيرة في بنية ChatGPT سمحت للمهاجمين باستخراج هذا النوع من بيانات المستخدم بصمت تام.

من خلال استغلال قناة اتصال خارجية خفية ضمن بيئة تنفيذ الأكواد المعزولة في ChatGPT، تمكن المهاجمون من استخراج سجل المحادثات، والملفات المرفوعة، والمخرجات التي يولدها الذكاء الاصطناعي دون إطلاق أي تنبيهات للمستخدم أو طلب موافقته.

تجاوز أنظمة الحماية للاتصالات الخارجية

قامت OpenAI بتصميم بيئة تحليل البيانات المبنية على لغة Python كبيئة آمنة (Sandbox)، حيث يتم حظر طلبات HTTP الخارجية بشكل مباشر لمنع تسرب البيانات.

أما طلبات API الخارجية المشروعة، المعروفة باسم GPT Actions، فتتطلب موافقة صريحة من المستخدم عبر نوافذ تأكيد واضحة.

ومع ذلك، اكتشف الباحثون طريقة لتجاوز هذه الحماية باستخدام تقنية تُعرف بـ DNS Tunneling. فعلى الرغم من حظر الوصول التقليدي للإنترنت، كانت بيئة التنفيذ لا تزال تسمح بعمليات تحليل أسماء النطاقات (DNS).

استغل المهاجمون هذه الثغرة عبر ترميز بيانات المستخدم الحساسة داخل أسماء نطاقات فرعية (Subdomains).

وبدلًا من استخدام DNS فقط لتحويل الأسماء إلى عناوين IP، يقوم الهجوم بتقسيم البيانات — مثل تشخيص طبي أو ملخص مالي — إلى أجزاء صغيرة وآمنة.

وعند تنفيذ عملية الاستعلام (DNS Lookup)، يتم تمرير هذه البيانات المشفرة عبر سلسلة الخوادم إلى خادم خارجي يسيطر عليه المهاجم.

وبما أن النظام لم يتعرف على حركة DNS كعملية نقل بيانات خارجية، فقد تم تجاوز جميع آليات إشراف المستخدم.

استغلال GPTs المخصصة

يتطلب هذا الهجوم تفاعلًا بسيطًا جدًا من المستخدم، حيث يبدأ من خلال إدخال أمر خبيث واحد فقط.

يمكن للمهاجمين نشر هذه الأوامر عبر المنتديات أو وسائل التواصل الاجتماعي، متخفية على شكل أدوات إنتاجية أو طرق لاختراق قيود ChatGPT والحصول على ميزات مدفوعة.

بمجرد أن يقوم المستخدم بلصق هذا الأمر، تتحول المحادثة الحالية إلى قناة سرية لجمع البيانات.

كما يمكن للمهاجمين تضمين الشيفرة الخبيثة مباشرة داخل GPTs مخصصة.

فعلى سبيل المثال، إذا تفاعل المستخدم مع GPT مزيف مثل “طبيب شخصي” يقوم بتحليل ملفات PDF طبية، يمكن للنظام أن يستخرج بشكل خفي معلومات حساسة وتقييمات طبية مهمة.

وبما أن مطوري GPT لا يملكون رسميًا صلاحية الوصول إلى محادثات المستخدمين، فإن هذه القناة الجانبية توفر وسيلة خفية لجمع البيانات الخاصة.

والأخطر من ذلك، أنه عند سؤال الذكاء الاصطناعي بشكل مباشر، قد ينفي بثقة إرسال أي بيانات إلى الخارج، مما يعزز وهم الخصوصية بشكل كامل.

قناة اتصال ثنائية الاتجاه

لم تقتصر هذه الثغرة على سرقة البيانات فقط، بل وفرت أيضًا قناة اتصال ثنائية الاتجاه بين بيئة التنفيذ والمهاجم.

حيث يمكن للمهاجمين تضمين أوامر داخل استجابات DNS، وإرسالها مرة أخرى إلى البيئة المعزولة.

وبإمكان برنامج يعمل داخل الحاوية (Container) إعادة تجميع هذه الأوامر وتنفيذها، مما يمنح المهاجم وصولًا عن بُعد (Remote Shell) إلى بيئة Linux.

ووفقًا لتقرير Check Point، تمكن هذا التنفيذ من تجاوز آليات الأمان القياسية، حيث ظلت الأوامر ونتائجها غير مرئية داخل واجهة المحادثة، مما يجعل المستخدم غير مدرك تمامًا للاختراق.

إصلاح الثغرة

نجحت OpenAI في إصلاح هذه المشكلة الأساسية في 20 فبراير 2026، من خلال إغلاق قناة DNS المستخدمة في الهجوم.

ومع ذلك، يسلط هذا الحادث الضوء بشكل واضح على تزايد سطح الهجوم في المساعدات الذكية الحديثة، خاصة مع تطورها إلى بيئات تنفيذ معقدة ومتعددة الطبقات.

المصدر : سيكيورتي ويك