🔍 Contexte

Publié le 30 mars 2026 par Check Point Research, cet article détaille la découverte d’une vulnérabilité d’exfiltration de données dans l’environnement d’exécution de code de ChatGPT (OpenAI). La faille a été corrigée par OpenAI le 20 février 2026 après signalement par CPR.

🧩 Mécanisme de la vulnérabilité

L’environnement d’exécution Python de ChatGPT (Data Analysis / Code Execution) est censé être isolé d’internet. Cependant, CPR a découvert que la résolution DNS restait disponible malgré le blocage des connexions sortantes directes. Cette caractéristique a permis de construire un tunnel DNS entre le runtime isolé et un serveur contrôlé par l’attaquant :

  • Les données sont encodées dans des labels de sous-domaines DNS
  • Les requêtes DNS propagent ces données via l’infrastructure de résolution récursive légitime
  • Les réponses DNS permettent de renvoyer des commandes dans le container
  • Le canal est bidirectionnel, permettant à la fois l’exfiltration et l’exécution de commandes à distance

🎯 Vecteurs d’attaque identifiés

1. Prompt malveillant unique : Un seul prompt injecté dans une conversation ChatGPT suffit à activer le canal d’exfiltration. Les messages suivants de l’utilisateur sont silencieusement transmis à un serveur attaquant. Ce prompt peut être distribué sous forme de « productivité hack » ou de promesse de déblocage de fonctionnalités premium.

2. GPT personnalisé malveillant (backdoored GPT) : La logique malveillante peut être intégrée directement dans les instructions d’un GPT personnalisé. L’utilisateur interagit normalement avec l’assistant sans aucun signe d’alerte. Un PoC « médecin personnel » a démontré l’exfiltration de l’identité du patient et de l’évaluation médicale générée par le modèle à partir d’un PDF de résultats de laboratoire.

💀 Impact

  • Exfiltration silencieuse : aucun avertissement, aucune demande d’approbation, invisible pour l’utilisateur
  • Données ciblées : messages bruts, contenu de fichiers uploadés (PDF, contrats, résultats médicaux), résumés et conclusions générés par le modèle
  • Remote shell : établissement d’un accès shell distant dans le runtime Linux de ChatGPT via le même canal DNS, avec exécution de commandes hors du flux de réponse normal et sans filtrage par les mécanismes de sécurité du modèle
  • ChatGPT nie activement tout transfert de données externe lorsqu’interrogé, pendant que l’exfiltration se produit

🛠️ Technique principale

DNS Tunneling : encodage de données dans des sous-domaines, reconstruction côté serveur attaquant depuis les requêtes DNS entrantes, retour de commandes via les réponses DNS.

📋 Type d’article

Publication de recherche technique de Check Point Research, visant à documenter une vulnérabilité découverte et corrigée dans ChatGPT, avec démonstration de preuves de concept vidéo.

🧠 TTPs et IOCs détectés

TTP

  • T1071.004 — Application Layer Protocol: DNS (Command and Control)
  • T1048.001 — Exfiltration Over Alternative Protocol: Exfiltration Over Symmetric Encrypted Non-C2 Protocol (Exfiltration)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1566 — Phishing (Initial Access)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1572 — Protocol Tunneling (Command and Control)

🔗 Source originale : https://research.checkpoint.com/2026/chatgpt-data-leakage-via-a-hidden-outbound-channel-in-the-code-execution-runtime/