В GPT-5 нашли уязвимости, открывающие путь к скрытым атакам и утечке данных. В зоне риска — сотни миллионов пользователей

По данным Tenable, уязвимости, обнаруженные в моделях OpenAI GPT-4o и GPT-5, связаны с тем, как ChatGPT обрабатывает внешние данные, использует память и контекст поиска. Исследователи выделяют два типа атак: интерактивные prompt-injection, которые активируются после действий пользователя, например при пересказе зараженной страницы, и zero-click атаки, при которых не нужны никакие действия со стороны пользователя — компрометация происходит автоматически при загрузке результатов поиска.

Среди выявленных техник — memory injection, позволяющая внедрять скрытые инструкции в долговременную память ChatGPT, prompt-injection через ссылки и параметры URL, обход механизма безопасных адресов с помощью трекинг-ссылок Bing — перенаправляющих URL, которые Bing использует для учёта кликов и аналитики, а также conversation injection, когда вредоносные инструкции попадают в контекст диалога через результаты SearchGPT.

Отдельно отмечается ошибка рендеринга markdown (технический баг в процессе отображения текста, где используются символы вроде **жирный**, *курсив*, код, списки и т. д.), позволяющая скрывать вредоносные команды в невидимом для пользователя коде.

Продолжение ниже

По оценке Tenable, в зоне риска находятся сотни миллионов пользователей, так как ChatGPT хранит фрагменты переписок и персональные сведения в памяти по умолчанию. Эксперименты исследователей показали, что атаки могут выполняться даже при обращении к легитимным сайтам, содержащим скрытые инструкции.

Компания передала результаты OpenAI в рамках ответственного раскрытия. Часть уязвимостей уже устранена, однако, как подчеркивают специалисты Tenable, проблема prompt-injection является фундаментальной особенностью больших языковых моделей и не может быть полностью исключена на архитектурном уровне.