A Tenable Research új jelentése – „HackedGPT: Novel AI Vulnerabilities Open the Door for Private Data Leakage” – hét kritikus sebezhetőséget tárt fel az OpenAI ChatGPT platformban, amelyek mind a GPT-4o, mind a GPT-5 modelleket érintik.
🚨 Bevezetés
A hibák lehetővé teszik a támadóknak, hogy láthatatlanul kiszivárogtassák a felhasználók privát adatait, beleértve korábbi beszélgetéseket, memóriatartalmakat és érzékeny kontextusokat.
„Több százmillió felhasználó interakcióba lép LLM-ekkel naponta, és ezek a támadások mindannyiukat érinthetik.” – Tenable blog
A jelentés szerint a ChatGPT architektúrája – különösen a memória- és böngészési rétegek – új típusú kiberkockázatot hoznak: a láthatatlan prompt-injekciót.
🧩 Hogyan épül fel a ChatGPT – és miért sebezhető
A Tenable elemzése szerint a ChatGPT több belső komponensből áll, amelyek együtt kontextusláncot képeznek – ez az, amit a támadók kihasználnak.
Fő komponensek:
- System Prompt – a modell szerepét és korlátait meghatározó alaputasítás. Tartalmaz utalást eszközökre, pl. bio (memória) és web (böngészés).
- Memory („bio” tool) – a modell hosszú távú emlékezeti modulja, amely tárolhat korábbi beszélgetésekből fontosnak ítélt adatokat.
- Web Tool / SearchGPT – a böngészésért felelős másodlagos LLM, amely a keresést és URL-megnyitást kezeli. Elvileg izolált, de a Tenable szerint nem elég szigorúan elszigetelt.
A sebezhetőségek pont ezekben az összekapcsolódó rétegekben keletkeznek.
⚠️ A 7 fő sebezhetőség (Tenable kategorizálása)
| # | Típus | Leírás | Kockázat |
|---|---|---|---|
| 1️⃣ | Indirect Prompt Injection (Browsing) | Rosszindulatú utasítások webtartalomban (pl. blogkomment), amit ChatGPT beolvas, majd végrehajt. | Magas |
| 2️⃣ | Zero-Click Injection (Search Context) | A kereső indexel egy fertőzött weboldalt → ChatGPT hívja → kód lefut felhasználói kattintás nélkül. | Kritikus |
| 3️⃣ | One-Click URL Parameter Injection | Manipulált URL-paraméter (?q=<malicious_prompt>) injektál utasítást. | Magas |
| 4️⃣ | url_safe Mechanizmus Kikerülése | Whitelist-domain (pl. bing.com) kihasználása rejtett redirectekhez. | Közepes–magas |
| 5️⃣ | Conversation Injection After Search | A keresési kimenetben elrejtett utasítás bekerül a ChatGPT kontextusába, és befolyásolja a következő válaszokat. | Magas |
| 6️⃣ | Malicious Content Hiding | Markdown-hiba: a kódblokkokban elrejtett szöveg láthatatlan a felhasználónak, de feldolgozza a modell. | Magas |
| 7️⃣ | Persistent Memory Injection | A támadó utasításokat mentethet a ChatGPT-memóriába → a szivárgás a jövőbeli munkamenetekben is folytatódik. | Kritikus |
🧪 Bizonyított támadási láncok
A Tenable valós proof-of-concepteket mutatott be GPT-4o és GPT-5 modelleken:
- Forgatókönyv 1: blogkomment → böngészési hívás → rejtett utasítás → memória-módosítás → adat-exfiltráció
- Forgatókönyv 2: fertőzött URL-paraméter → ChatGPT automatikusan végrehajtja → felhasználói adatok kiszivárognak
A támadások nagy része felhasználói kattintás nélkül aktiválódhatott.
🧭 OpenAI válasza
- A Tenable koordináltan jelentette a hibákat az OpenAI-nak.
- Néhányat már javítottak (TRA-2025-22, -11, -06 technikai közlemények).
- A Tenable ugyanakkor kiemeli: „A prompt-injekció továbbra is az LLM-ek inherens gyengesége.”
A GPT-5 egyes proof-of-conceptjei továbbra is működnek.
🔍 Miért kulcsfontosságú ez az incidens
👥 Felhasználóknak
- A ChatGPT-ben megosztott adatok (memóriában, előzményekben) potenciálisan elérhetők támadók számára.
- Egy ártatlan kérdés is (pl. „Hol van a legjobb olasz étterem?”) aktiválhat rejtett exfiltrációt.
- „Zero-click” jelleg: nem kell kattintani semmire – már a lekérdezés is elég.
🏢 Vállalatoknak
- Az LLM-integráció vállalati kockázati kategória.
- A memória + böngészés + eszközhasználat kombinációja kibővíti a támadási felületet.
- Az izoláció (külön LLM-böngésző) nem elegendő védelem – a Tenable bizonyította az átszivárgást.
🧮 AI-fejlesztőknek
- A klasszikus sebezhetőségek (SQL-injection, XSS) új formában térnek vissza: prompt-injekcióként.
- A védelem nem szűrőkről, hanem architekturális robusztusságról szól.
- Kötelező a monitoring a modellek viselkedésére: gyanús memória-tartalom, szokatlan URL-generálás, kontextus-torzulás.
🧰 Szervezeti teendők (ajánlás vállalati / önkormányzati DPO-knak)
- LLM-használati audit: térképezd fel, hol és hogyan használja a szervezet az LLM-eket (belső chatbot, dokumentum-elemzés, ügyfélszolgálat).
- Adatvédelmi szabályzat frissítése: explicit figyelmeztetés, hogy LLM-ekbe bizalmas adat nem vihető be.
- Sandbox-környezet bevezetése: a nyilvános ChatGPT és az intézményi rendszerek közé válaszfal.
- Kimeneti-monitorozás: automatikus szűrők, anomália-detektálás (szokatlan URL-ek, nem várt memória-hívások).
- LLM-biztonsági oktatás: dolgozók és fejlesztők részére – új típusú „prompt-higiénia”.
- Zero-Trust szemlélet LLM-ekre: ne bízz meg a modell válaszaiban implicit módon – minden interakció legyen naplózott.
- Vendor-kapcsolattartás: követni az OpenAI technikai közleményeit (TRA-sorozat).
🧩 Összegzés
A Tenable felfedezései alapjaiban rengetik meg az AI-bizalom fogalmát:
amikor kérdezel egy modelltől, azt várod, hogy segítsen — nem azt, hogy titokban adatot szivárogtasson.
A kockázat most már nem a felhasználó kattintásaiban, hanem a modell belső folyamataiban rejlik.
A jövő AI-biztonságát azok az architektúrák határozzák meg, amelyek képesek ellenállni az ellenséges kontextusnak.
🧱 A Tenable röviden
A Tenable Holdings, Inc. (Columbia, Maryland) a Nessus sebezhetőség-vizsgáló szoftver fejlesztője.
Világszerte 44 000 ügyféllel és a Fortune 500 cégek 65 %-ával dolgozik.
A „HackedGPT” kutatás az AI-biztonság egyik legnagyobb hatású tanulmánya 2025-ben.
