OpenAI 揭多重漏洞：GitHub 令牌竊取、對話資料外洩，並宣布擴大漏洞獎勵計畫

研究人員近期接連披露 OpenAI 旗下產品的重大安全缺陷，包括 Codex 指令注入漏洞導致 GitHub 存取令牌遭竊，以及 ChatGPT 透過 DNS 隱蔽通道洩漏對話資料等問題。OpenAI 已陸續修補相關漏洞，並宣布擴大漏洞獎勵計畫的範疇，正式將 AI 安全風險納入通報項目。

Codex 的隱形攻擊：Unicode 字元藏惡意指令

BeyondTrust Phantom Labs 研究人員發現，OpenAI Codex 在處理 GitHub 分支名稱時，未對使用者輸入進行嚴格驗證，導致攻擊者可透過 HTTPS POST 請求中的分支名稱參數注入任意指令。更關鍵的是，攻擊者能利用表意空格 (Ideographic Space) 這種外觀與一般空白字元相同的 Unicode 字元，將惡意指令隱藏其中，使開發人員在視覺上完全無法察覺異狀。

一旦注入成功，攻擊者即可在代理容器內執行惡意酬載，進而取得受害者的 GitHub 使用者存取令牌，也就是 Codex 用來驗證 GitHub 身分的憑證。BeyondTrust 首席安全架構師 Kinnaird McQuade 指出，這等同於取得受害者整個程式碼庫的讀寫權限，並可作為橫向移動的跳板，滲透整個企業的 GitHub 環境。

研究團隊也發現，這項漏洞可進一步延伸至竊取 GitHub 安裝存取令牌。當攻擊者將惡意分支設為預設分支後，任何在 GitHub 上以 @codex 標記觸發程式碼審查的使用者，都可能在不知情的情況下觸發攻擊流程，讓惡意酬載靜默執行，並將回應轉送至外部伺服器。

此外，研究人員也發現 Codex 會將敏感登入資料儲存在使用者本機的 auth.json 檔案中。若攻擊者曾取得開發人員電腦的存取權限，便可直接竊取這些令牌，進一步擴大攻擊範圍。

此漏洞影響範圍涵蓋 ChatGPT 網頁版、Codex CLI、Codex SDK，以及 Codex IDE 延伸套件。Phantom Labs 於 2025 年 12 月 16 日通報 OpenAI，一週後即完成初步修補。OpenAI 最終於 2026 年 2 月 5 日將此問題列為「Critical Priority 1」，並完成全面修復。

ChatGPT 的 DNS 隱蔽通道：繞過 AI 護欄的資料外洩手法

Check Point 研究人員揭露了另一個已修補的 ChatGPT 漏洞。該漏洞利用 ChatGPT 代理執行程式碼時所使用的 Linux 執行環境中的側通道，以 DNS 請求作為隱蔽傳輸機制，將使用者的對話內容、上傳的檔案及其他敏感資料編碼後外洩，並完全繞過 ChatGPT 原有的資料共享護欄機制。

更令人擔憂的是，同樣的隱蔽通道也可用來在 Linux 執行環境內建立遠端殼層，進而達成指令執行。由於 AI 系統預設該執行環境處於隔離狀態，因此不會將此行為識別為需要使用者確認的外部資料傳輸，整個洩漏過程對使用者而言幾乎完全不可見。

可能的攻擊情境如下：攻擊者誘使使用者貼上一段偽裝成「解鎖進階功能」的惡意提示，即可觸發資料外洩。若惡意邏輯被植入自訂 GPT，風險將進一步放大，因為使用者甚至不需要主動貼上任何內容。Check Point 表示，OpenAI 已於 2026 年 2 月 20 日完成修補，且目前無證據顯示此漏洞曾遭惡意利用。

AI 工具的新攻擊面不只限於平台本身

研究人員也注意到，有威脅行為者可能透過發布或更新瀏覽器延伸套件，靜默竊取 AI 聊天機器人的對話內容，而使用者對此毫無察覺。Expel 研究人員指出，這類看似無害的插件可能導致身分竊取 、針對性網路釣魚，甚至讓企業的智慧財產或客戶資料流入地下論壇。

OpenAI 擴大漏洞獎勵計畫，納入 AI 安全風險

面對日益複雜的 AI 安全威脅，OpenAI 於 2026 年 3 月 26 日宣布在原有的安全漏洞獎勵計畫之外，新增「安全性漏洞獎勵計畫」（Safety Bug Bounty），並透過 Bugcrowd 平台運作，廣邀研究人員通報即使未構成傳統資安漏洞、仍可能帶來實質 AI 安全風險的問題。

新計畫涵蓋的通報範疇包括：

• 代理風險：包含模型情境協定 (MCP) 濫用、第三方提示注入、資料外洩，以及在 OpenAI 平台上進行未授權的大規模操作
• 帳號與平台完整性違規：例如繞過反自動化控制、操縱帳號信任訊號，以及規避帳號限制或封禁
• OpenAI 專有資訊濫用：例如在模型回應中洩漏與推理相關的專有資訊

值得注意的是，若越獄行為僅導致粗俗語言，或僅能取得可輕易搜尋到的公開資訊，則不在獎勵範圍之內。Check Point 研究主管 Eli Smadja 表示，這些漏洞再次印證一個核心事實：AI 工具本身無法保證安全，企業必須在 AI 供應商與自身系統之間建立獨立的可視性與分層防護機制，而非被動等待下一個事件發生。

本文轉載自 Hackread、TheHackerNews、InfosecurityMagazine。