Una vulnerabilidad previamente desconocida en OpenAI ChatGPT permitió que se filtraran datos confidenciales de conversaciones sin el conocimiento o consentimiento del heredero, según nuevos hallazgos de Check Point.
“Un solo aviso taimado podría convertir una conversación ordinaria en un canal de exfiltración encubierto, filtrando mensajes de usuarios, archivos cargados y otro contenido sensible”, dijo la compañía de ciberseguridad en un mensaje publicado hoy. “Un GPT con puerta trasera podría extralimitarse de la misma amor para obtener paso a los datos del heredero sin el conocimiento o el consentimiento del heredero”.
Tras una divulgación responsable, OpenAI abordó el problema el 20 de febrero de 2026. No hay evidencia de que el problema haya sido explotado alguna vez en un contexto taimado.
Si adecuadamente ChatGPT está construido con varias barreras de seguridad para evitar el intercambio de datos no acreditado o ocasionar solicitudes de red salientes directas, la vulnerabilidad recientemente descubierta evita estas salvaguardas por completo al explotar un canal adyacente que se origina en el tiempo de ejecución de Linux utilizado por el agente de inteligencia químico (IA) para la ejecución de código y descomposición de datos.
Específicamente, abusa de una ruta de comunicación oculta basada en DNS como un “mecanismo de transporte encubierto” al codificar información en solicitudes de DNS para sortear las barreras de seguridad visibles de la IA. Es más, la misma ruta de comunicación oculta podría estilarse para establecer un paso remoto al shell interiormente del tiempo de ejecución de Linux y alcanzar la ejecución de comandos.
En abandono de cualquier advertencia o diálogo de aprobación del heredero, la vulnerabilidad crea un punto ciego de seguridad, y el sistema de inteligencia químico supone que el entorno estaba incomunicación.
Como ejemplo ilustrativo, un atacante podría convencer a un heredero de que pegue un mensaje taimado haciéndolo producirse como una forma de desbloquear capacidades premium de forma gratuita o mejorar el rendimiento de ChatGPT. La amenaza se magnifica cuando la técnica está integrada interiormente de GPT personalizados, ya que la dialéctica maliciosa podría incorporarse en emplazamiento de engañar al heredero para que pegue un mensaje especialmente diseñado.
“Lo más importante es que, correcto a que el maniquí operaba bajo el supuesto de que este entorno no podía despachar datos directamente, no reconocía ese comportamiento como una transferencia de datos externa que requería resistor o mediación del heredero”, explicó Check Point. “Como resultado, la filtración no generó advertencias sobre los datos que salían de la conversación, no requirió confirmación explícita del heredero y permaneció en gran medida invisible desde la perspectiva del heredero”.
Con herramientas como ChatGPT cada vez más integradas en entornos empresariales y usuarios cargando información muy personal, vulnerabilidades como estas subrayan la aprieto de que las organizaciones implementen su propia capa de seguridad para contrarrestar las inyecciones rápidas y otros comportamientos inesperados en los sistemas de IA.
“Esta investigación refuerza una dura verdad para la era de la IA: no asuma que las herramientas de IA son seguras por defecto”, dijo Eli Smadja, principal de investigación de Check Point Research, en un comunicado compartido con The Hacker News.
“A medida que las plataformas de IA evolucionan en dirección a entornos informáticos completos que manejan nuestros datos más confidenciales, los controles de seguridad nativos ya no son suficientes por sí solos. Las organizaciones necesitan visibilidad independiente y protección en capas entre ellas y los proveedores de IA. Así es como avanzamos de modo segura: repensando la construcción de seguridad para la IA, sin reaccionar al próximo incidente”.
El exposición se produce cuando se ha observado que los actores de amenazas publican extensiones de navegador web (o actualizan las existentes) que participan en la dudosa ejercicio de caza furtiva rápida para desviar silenciosamente conversaciones de chatbot de IA sin el consentimiento del heredero, destacando cómo complementos aparentemente inofensivos podrían convertirse en un canal para la filtración de datos.
“Casi no hace desatiendo afirmar que estos complementos abren las puertas a varios riesgos, incluido el robo de identidad, campañas de phishing dirigidas y la cesión de datos confidenciales en foros clandestinos”, dijo el investigador de Expel, Ben Nahorney. “En el caso de organizaciones donde los empleados pueden ocurrir instalado estas extensiones sin saberlo, es posible que hayan expuesto propiedad intelectual, datos de clientes u otra información confidencial”.
La vulnerabilidad de inyección de comandos en OpenAI Codex lleva a un compromiso del token de GitHub
Los hallazgos igualmente coinciden con el descubrimiento de una vulnerabilidad crítica de inyección de comandos en Codex de OpenAI, un agente de ingeniería de software basado en la abundancia, que podría ocurrir sido explotada para robar datos de credenciales de GitHub y, en última instancia, comprometer a múltiples usuarios que interactúan con un repositorio compartido.
“La vulnerabilidad existe interiormente de la solicitud HTTP de creación de tareas, que permite a un atacante contrabandear comandos arbitrarios a través del parámetro de nombre de rama de GitHub”, dijo el investigador de BeyondTrust Phantom Labs, Tyler Jespersen, en un mensaje compartido con The Hacker News. “Esto puede resultar en el robo del token de paso de heredero de GitHub de la víctima, el mismo token que Codex usa para autenticarse con GitHub”.
El problema, según BeyondTrust, se debe a una higiene inadecuada de la entrada al procesar nombres de ramas de GitHub durante la ejecución de tareas en la abundancia. Oportuno a esta insuficiencia, un atacante podría inyectar comandos arbitrarios a través del parámetro de nombre de rama en una solicitud HTTPS POST a la API del Codex backend, ejecutar cargas enseres maliciosas interiormente del contenedor del agente y recuperar tokens de autenticación confidenciales.
“Esto otorgó movimiento adyacente y paso de leída/escritura a todo el código almohadilla de una víctima”, dijo Kinnaird McQuade, arquitecto principal de seguridad de BeyondTrust, en una publicación en X. OpenAI lo parchó a partir del 5 de febrero de 2026, posteriormente de que se informara el 16 de diciembre de 2025. La vulnerabilidad afecta al sitio web ChatGPT, Codex CLI, Codex SDK y Codex IDE Extension.
El proveedor de ciberseguridad dijo que la técnica de inyección de comandos de rama igualmente podría tumbarse para robar tokens de paso de instalación de GitHub y ejecutar comandos bash en el contenedor de revisión de código cada vez que se haga relato a @codex en GitHub.
“Con la rama maliciosa configurada, hicimos relato a Codex en un comentario sobre una solicitud de extirpación (PR)”, explicó. “Codex luego inició un contenedor de revisión de código y creó una tarea en nuestro repositorio y sucursal, ejecutando nuestra carga útil y reenviando la respuesta a nuestro servidor foráneo”.
La investigación igualmente destaca un aventura creciente de que el paso privilegiado otorgado a los agentes de codificación de IA pueda estilarse como armamento para proporcionar una “ruta de ataque escalable” a los sistemas empresariales sin activar los controles de seguridad tradicionales.
“A medida que los agentes de IA se integran más profundamente en los flujos de trabajo de los desarrolladores, la seguridad de los contenedores en los que se ejecutan (y la entrada que consumen) debe tratarse con el mismo rigor que cualquier otro remate de seguridad de la aplicación”, dijo BeyondTrust. “La superficie de ataque se está expandiendo y la seguridad de estos entornos debe seguir el ritmo”.
