Каждый будний день «Сегодня» делится с читателями дайджестом самых интересных материалов израильской прессы, а потом подробно разбирает один из этих материалов.
The Jerusalem Post сообщает, ссылаясь на данные OpenAI, что к концу 2025 года сервисом ChatGPT пользовались более 800 миллионов человек в неделю; а к июлю 2025 года пользователи еженедельно отправляли в этот чат около 18 миллиардов сообщений.
По словам издания, используют ChatGPT вовсе не только ради развлечения. С помощью этого инструмента проверяют таблицы, формулируют контракты, пишут письма, создают код, улучшают презентации и пытаются разобраться в сложных медицинских или финансовых хитросплетениях. То есть речь идет не просто о чат-боте, а об инструменте, к которому прибегают даже в случае принятия персональных решений. В этих условиях любая уязвимость, обнаруживаемая в системе, — это не просто техническая неувязка, а серьезная угроза.
Израильтяне бьют тревогу
Вот почему исследование, проведенное израильской компанией Check Point, оказалось столь важным: оно продемонстрировало, что в системе существовала уязвимость, позволявшая без предупреждения извлекать из чатов информацию. Эта «дыра» в коде предоставляла возможность передавать данные через DNS-запросы, минуя стандартные механизмы защиты.
В Check Point утверждают, что обнаружили уязвимость в среде выполнения, — ее ChatGPT использует для анализа данных и задач на Python. Данную среду можно представить как некое изолированное рабочее пространство внутри системы, в котором обрабатываются файлы и выполняется код без прямого доступа к интернету. Обычный исходящий веб-трафик там блокируется, за исключением единственной функции — DNS (системы доменных имен), с помощью которой находят сайты. Как выяснилось, ее оказалось достаточно. Используя отличительные особенности DNS, злоумышленники могли создать скрытый канал, чтобы выводить данные из защищенной среды.
Этот метод получил название «DNS-туннелирование». Его суть — в том, что передача данных маскируется под обычные запросы к сайтам. Это напоминает трансляцию скрытого сообщения внутри безобидного пакета. Таким образом можно незаметно и не спеша выводить нужную информацию из системы.
Тип и масштаб угрозы
Несмотря на то, что у ChatGPT имеются официальные механизмы для взаимодействия с внешними сервисами, требующими согласия пользователя, обнаруженная уязвимость позволяла обойти существующие ограничения. В результате система не распознавала происходящее как внешнюю передачу данных, а значит, не блокировала ее и не уведомляла пользователя о возможных огрехах.
Попытка взлома вполне могла быть инициирована путем обычного запроса (промта), который пользователь вставляет в чат. Сегодня такие запросы постоянно копируются в социальных сетях, форумах и рассылках, что создает идеальную маскировку: вредоносный запрос может вполне сойти за полезный совет или «лайфхак».
Дальше любые последующие сообщения в диалоге способны превратиться в источник утечки: введенный текст, данные из загруженных файлов и, что особенно важно, — выводы самой модели. Именно последние, по мнению The Jerusalem Post, представляли особую опасность. Скажем, если пользователь загружал медицинский отчет или контракт, злоумышленник мог получить не весь документ, а краткий и максимально ценный набор информации — диагноз, ключевые пункты договора или финансовые риски.
Другими словами, потенциальный ущерб от утечки выводов модели мог оказаться куда значительнее, чем, к примеру, от кражи исходных файлов.
При каких условиях риск усиливался
Риски особенно росли при использовании «кастомных» GPT — специализированных версий ассистента. Здесь вредоносную логику можно было встроить непосредственно в сам инструмент — в этом случае от пользователя даже не требовалось даже вводить подозрительный запрос.
В Check Point приводят на эту тему следующий пример: пользователь загрузил анализы в кастомный GPT «личный врач», получил нормальный ответ и уведомление, что данные никуда не уходят. А на самом деле на сервер злоумышленника были переданы как личные данные пациента, так и медицинское заключение модели. Пользователь ничего не заметил, при том, что интерфейс выглядел привычно.
Но и это еще не все: тот же скрытый канал вполне можно было бы использовать не только для кражи данных, но и для удаленного управления средой выполнения. То есть, могла появиться возможность выполнять команды внутри системы — и вновь незаметно для пользователя.
Чем закончилась история
По словам издания, компания OpenAI подтвердила проблему, выявленную израильтянами, и исправила уязвимость 20 февраля 2026 года. Однако это не сняло проблему с повестки дня, поэтому от пользователей по-прежнему требуется предельная осторожность: ИИ-ассистенты трансформируются в полноценные рабочие среды, где обрабатываются чувствительные данные. Важно осознавать, что «личный помощник» способен передавать информацию вне пользовательского контроля, и доверие к системе должно сочетаться с вниманием к безопасности.
И еще: OpenAI заявил, что устранил проблему, тем самым снизив текущие риски. Но главный вывод в другом: такого рода уязвимости могут существовать, и неизвестно, кто уже успел ими воспользоваться.
