- Check Point Research ontdekte een ChatGPT-fout die stille data-exfiltratie mogelijk maakt door DNS-misbruik en snelle injectie
- Door het beveiligingslek kunnen aanvallers de vangrails omzeilen en gevoelige gebruikersgegevens stelen via vertrouwelijke domeinquery’s
- OpenAI heeft het probleem op 20 februari 2026 gepatcht en markeerde de tweede grote oplossing die week na de fout in de Codex-opdrachtinjectie
OpenAI heeft een kwetsbaarheid in ChatGPT aangepakt waardoor bedreigingsactoren heimelijk gevoelige gegevens van hun doelwitten konden verzamelen.
De kwetsbaarheid werd ontdekt door beveiligingsexperts van Check Point Research (CPR), die waarschuwden dat de bug ouderwetse snelle injectie combineert met ingebouwde vangrail-bypass, en stelden: “AI-tools mogen niet standaard als veilig worden beschouwd.”
Tegenwoordig delen de meeste mensen snel zeer gevoelige gegevens met ChatGPT – medische aandoeningen, contracten, loonstrookjes, screenshots van gesprekken met partners, partners en meer. Ze gaan ervan uit dat de informatie veilig is, omdat deze zonder hun medeweten of toestemming niet uit de tool kan worden opgehaald.
Artikel gaat hieronder verder
DNS-verkeer is geen risicovol gedrag
In theorie is dat waar. Gegevens kunnen worden geëxfiltreerd via HTTP of externe API’s, en beide kunnen bekend zijn, of op zijn minst worden gevolgd. CPR dacht echter buiten de gebaande paden en vond een nieuwe manier om de informatie te verkrijgen: via DNS.
“Zelfs als directe internettoegang indien nodig wordt geblokkeerd, blijft DNS-resolutie beschikbaar als onderdeel van de normale systeemwerking”, legden ze uit. “DNS wordt doorgaans behandeld als een onschadelijke infrastructuur, die wordt gebruikt om domeinnamen op te lossen, niet om gegevens te verzenden. DNS kan echter worden misbruikt als een geheim transportmechanisme door informatie in domeinquery’s te coderen.”
Omdat DNS-activiteit niet wordt bestempeld als uitgaand delen van gegevens, genereert ChatGPT geen toestemmingsdialoogvensters, geeft het geen waarschuwingen weer en herkent het gedrag niet als riskant.
“Dit creëert blinde vlekken. Het platform gaat ervan uit dat zijn omgeving geïsoleerd is. Het model gaat ervan uit dat het platform volledig binnen ChatGPT opereert. En gebruikers gaan ervan uit dat hun gegevens niet zonder toestemming kunnen vertrekken”, aldus CPR. “Alle drie de aannames zijn redelijk – en alle drie onvolledig. Dit is een belangrijke conclusie voor beveiligingsteams: AI-vangrails zijn vaak gericht op beleid en intentie, terwijl aanvallers de infrastructuur en het gedrag misbruiken.”
Om een aanval te starten moet ChatGPT nog steeds worden aangeroepen, dus de initiële trigger moet nog steeds worden overgehaald. Dit kan echter op verschillende manieren worden gedaan, door kwaadaardige opdrachten in e-mails, pdf-documenten of via websites in te voegen.
Er is echter nog een andere methode om deze fout te misbruiken zonder dat zelfs GPT per ongeluk op het verzoek om smokkelwaar ingaat, en dat is: via een aangepaste GPT.
Een hackergroep kan bijvoorbeeld een aangepaste GPT maken om als persoonlijke arts op te treden. Slachtoffers die er gebruik van maken, uploaden laboratoriumuitslagen met persoonlijke informatie, vragen om advies en krijgen een bevestiging dat hun gegevens niet worden gedeeld.
Maar in werkelijkheid krijgt de server onder controle van de aanvaller alle geüploade bestanden. Wat nog erger is, is dat GPT niet eens hele documenten hoeft te uploaden; het kan alleen belangrijke documenten extraheren, waardoor het proces slanker, sneller en efficiënter wordt.
Gelukkig voor iedereen ontdekte CPR deze kwetsbaarheid voordat deze in het wild werd uitgebuit. Ze hebben het op verantwoorde wijze bekendgemaakt aan OpenAI, die de volledige oplossing op 20 februari 2026 heeft geïmplementeerd.
ChatGPT en Codex gepatcht
Dit is de tweede grote kwetsbaarheid die OpenAI deze week heeft moeten aanpakken. Eerder vandaag rapporteerde TechRadar Pro over OpenAI’s ChatGPT Codex met een kritieke kwetsbaarheid voor commando-injectie waardoor bedreigingsactoren gevoelige GitHub-authenticatietokens konden stelen.
OpenAI repareerde ook een fout die voortkwam uit de manier waarop Codex vertakkingsnamen verwerkt tijdens het maken van taken. Met deze tool kunnen kwaadwillende actoren vertakkingsparameters manipuleren en willekeurige shell-opdrachten injecteren bij het opzetten van de omgeving. Met deze opdracht kan elke code in de container worden uitgevoerd, inclusief kwaadaardige code. Onderzoekers van Phantom Labs zeggen dat ze op deze manier GitHub OAuth-tokens kunnen intrekken, toegang kunnen krijgen tot theoretische projecten van derden en die tokens kunnen gebruiken om lateraal binnen GitHub te bewegen.
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om nieuws, recensies en onze deskundige meningen in uw feed te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons Wat is het Ook.
