- Check Point Research phát hiện lỗ hổng cho phép rò rỉ dữ liệu im lặng qua việc lạm dụng DNS và tiêm lệnh
- Lỗ hổng cho phép kẻ tấn công vượt qua các rào cản bảo mật và đánh cắp dữ liệu nhạy cảm của người dùng thông qua các truy vấn miền bí mật
- OpenAI đã vá lỗi vào ngày 20 tháng 2 năm 2026, là bản vá thứ hai trong tuần sau lỗ hổng tiêm lệnh Codex
OpenAI đã khắc phục một lỗ hổng trong ChatGPT cho phép các tác nhân nguy hiểm rò rỉ dữ liệu nhạy cảm của mục tiêu một cách im lặng.
Lỗ hổng này được các chuyên gia an ninh từ Check Point Research (CPR) phát hiện và họ cảnh báo rằng lỗi này kết hợp tiêm lệnh kiểu cũ với việc vượt qua các rào cản bảo mật tích hợp sẵn, đồng thời nhấn mạnh: “Các công cụ AI không nên được cho là an toàn theo mặc định”.
Ngày nay, rất nhiều người chia sẻ thông tin y tế, hợp đồng, biên lai thanh toán, ảnh chụp màn hình các cuộc hội thoại và nhiều dữ liệu nhạy cảm khác với ChatGPT, cho rằng chúng sẽ được bảo mật vì không thể bị lấy ra khỏi công cụ mà không có sự cho phép.
Lưu lượng DNS không phải là hành vi rủi ro
Về lý thuyết, điều này là đúng. Dữ liệu có thể bị rò rỉ qua HTTP hoặc các API bên ngoài, và cả hai đều có thể được phát hiện hoặc theo dõi. Tuy nhiên, CPR đã khám phá ra một phương pháp mới: sử dụng DNS như một kênh truyền tải bí mật bằng cách mã hoá thông tin trong các truy vấn tên miền.
“Trong khi truy cập trực tiếp ra internet đã bị chặn như dự định, việc phân giải DNS vẫn còn khả dụng như một phần của hoạt động hệ thống bình thường,” các nhà nghiên cứu giải thích. “DNS thường được xem là hạ tầng vô hại—chỉ dùng để phân giải tên miền, không phải để truyền dữ liệu. Tuy nhiên, DNS có thể bị lạm dụng như một kênh truyền tải bí mật bằng cách nhúng thông tin vào các truy vấn miền.”
Vì hoạt động DNS không được gắn nhãn là việc chia sẻ dữ liệu ra bên ngoài, ChatGPT không hiển thị hộp thoại yêu cầu đồng ý, không đưa ra cảnh báo và cũng không nhận diện hành vi này là rủi ro.
“Điều này tạo ra một điểm mù. Nền tảng cho rằng môi trường đã được cô lập. Mô hình cho rằng nó đang chạy hoàn toàn trong ChatGPT. Và người dùng cho rằng dữ liệu của họ không thể rời đi nếu không có sự đồng ý,” CPR nói. “Ba giả định này đều hợp lý nhưng chưa đầy đủ. Các rào cản bảo mật AI thường tập trung vào chính sách và ý định, trong khi kẻ tấn công khai thác hạ tầng và hành vi.”
Để kích hoạt cuộc tấn công, ChatGPT vẫn cần một lời nhắc ban đầu, có thể được chèn qua email, tài liệu PDF hoặc một trang web. Lỗ hổng này cũng có thể bị khai thác thông qua các GPT tùy chỉnh. Ví dụ, một kẻ xấu có thể tạo một GPT tùy chỉnh đóng vai một bác sĩ cá nhân; nạn nhân sẽ tải lên kết quả xét nghiệm và nhận lời khuyên, trong khi máy chủ của kẻ tấn công âm thầm thu thập các dữ liệu đã tải lên.
Trong thực tế, một máy chủ do kẻ tấn công kiểm soát sẽ nhận được toàn bộ các tệp tin được tải lên. Ngay cả khi không có toàn bộ tài liệu, GPT vẫn có thể rò rỉ những dữ liệu thiết yếu, giúp quá trình trở nên gọn nhẹ và nhanh hơn.
CPR đã báo cáo lỗ hổng này cho OpenAI một cách có trách nhiệm và OpenAI đã triển khai bản vá đầy đủ vào ngày 20 tháng 2 năm 2026.
Vá lỗi ChatGPT và Codex
Vá lỗi ChatGPT – Nguồn: Shutterstock/SomYuZu
Đây là lỗ hổng lớn thứ hai mà OpenAI đã khắc phục trong tuần này. Trước đó, một lỗi tiêm lệnh nghiêm trọng trong ChatGPT Codex cho phép kẻ tấn công đánh cắp token truy cập GitHub nhạy cảm. Vấn đề bắt nguồn từ cách Codex xử lý tên nhánh khi tạo nhiệm vụ, cho phép kẻ xấu thao túng tham số branch và tiêm các lệnh shell tùy ý. Các nhà nghiên cứu đã chứng minh rằng họ có thể kéo token OAuth của GitHub, từ đó truy cập vào các dự án của bên thứ ba và di chuyển ngang trong môi trường GitHub.
—
Hết bài
Tags: ChatGPT vulnerability, DNS exfiltration, OpenAI security
