Una vulnerabilidad previamente desconocida en OpenAI ChatGPT permitió que se filtraran datos confidenciales de conversaciones sin el conocimiento o consentimiento del usuario, según nuevos hallazgos de Check Point.

«Un solo aviso malicioso podría convertir una conversación ordinaria en un canal de exfiltración encubierto, filtrando mensajes de usuarios, archivos cargados y otro contenido sensible», dijo la empresa de ciberseguridad. dicho en un informe publicado hoy. «Un GPT con puerta trasera podría abusar de la misma debilidad para obtener acceso a los datos del usuario sin el conocimiento o el consentimiento del usuario».

Tras una divulgación responsable, OpenAI abordó el problema el 20 de febrero de 2026. No hay evidencia de que el problema haya sido explotado alguna vez en un contexto malicioso.

Si bien ChatGPT está construido con varias barreras de seguridad para evitar el intercambio o generación de datos no autorizados. solicitudes de red salientes directasla vulnerabilidad recientemente descubierta elude por completo estas salvaguardas al explotar un canal lateral que se origina en el tiempo de ejecución de Linux utilizado por el agente de inteligencia artificial (IA) para la ejecución de código y el análisis de datos.

Específicamente, abusa de una ruta de comunicación oculta basada en DNS como un «mecanismo de transporte encubierto» al codificar información en solicitudes de DNS para sortear las barreras de seguridad visibles de la IA. Es más, la misma ruta de comunicación oculta podría usarse para establecer un acceso remoto al shell dentro del tiempo de ejecución de Linux y lograr la ejecución de comandos.

En ausencia de cualquier advertencia o diálogo de aprobación del usuario, la vulnerabilidad crea un punto ciego de seguridad, y el sistema de inteligencia artificial supone que el entorno estaba aislado.

Como ejemplo ilustrativo, un atacante podría convencer a un usuario de que pegue un mensaje malicioso haciéndolo pasar como una forma de desbloquear capacidades premium de forma gratuita o mejorar el rendimiento de ChatGPT. La amenaza se magnifica cuando la técnica está integrada dentro de GPT personalizados, ya que la lógica maliciosa podría incorporarse en lugar de engañar al usuario para que pegue un mensaje especialmente diseñado.

«Lo más importante es que, debido a que el modelo operaba bajo el supuesto de que este entorno no podía enviar datos directamente, no reconocía ese comportamiento como una transferencia de datos externa que requería resistencia o mediación del usuario», explicó Check Point. «Como resultado, la filtración no generó advertencias sobre los datos que salían de la conversación, no requirió confirmación explícita del usuario y permaneció en gran medida invisible desde la perspectiva del usuario».

Con herramientas como ChatGPT cada vez más integradas en entornos empresariales y usuarios cargando información muy personal, vulnerabilidades como estas subrayan la necesidad de que las organizaciones implementen su propia capa de seguridad para contrarrestar las inyecciones rápidas y otros comportamientos inesperados en los sistemas de IA.

«Esta investigación refuerza una dura verdad para la era de la IA: no asuma que las herramientas de IA son seguras por defecto», dijo Eli Smadja, jefe de investigación de Check Point Research, en un comunicado compartido con The Hacker News.

«A medida que las plataformas de IA evolucionan hacia entornos informáticos completos que manejan nuestros datos más confidenciales, los controles de seguridad nativos ya no son suficientes por sí solos. Las organizaciones necesitan visibilidad independiente y protección en capas entre ellas y los proveedores de IA. Así es como avanzamos de manera segura: repensando la arquitectura de seguridad para la IA, sin reaccionar al siguiente incidente».

El desarrollo se produce cuando se ha observado que los actores de amenazas publican extensiones de navegador web (o actualizan las existentes) que participan en la dudosa práctica de caza furtiva rápida para desviar silenciosamente conversaciones de chatbot de IA sin el consentimiento del usuario, destacando cómo complementos aparentemente inofensivos podrían convertirse en un canal para la filtración de datos.

«Casi no hace falta decir que estos complementos abren las puertas a varios riesgos, incluido el robo de identidad, campañas de phishing dirigidas y la venta de datos confidenciales en foros clandestinos», dijo el investigador de Expel, Ben Nahorney. dicho. «En el caso de organizaciones donde los empleados pueden haber instalado estas extensiones sin saberlo, es posible que hayan expuesto propiedad intelectual, datos de clientes u otra información confidencial».

La vulnerabilidad de inyección de comandos en OpenAI Codex lleva a un compromiso del token de GitHub

Los hallazgos también coinciden con el descubrimiento de una vulnerabilidad crítica de inyección de comandos en OpenAI. Códiceun agente de ingeniería de software basado en la nube, que podría haber sido aprovechado para robar datos de credenciales de GitHub y, en última instancia, comprometer a varios usuarios que interactúan con un repositorio compartido.

«La vulnerabilidad existe dentro de la solicitud HTTP de creación de tareas, que permite a un atacante contrabandear comandos arbitrarios a través del parámetro de nombre de rama de GitHub», dijo el investigador de BeyondTrust Phantom Labs, Tyler Jespersen. dicho en un informe compartido con The Hacker News. «Esto puede resultar en el robo del token de acceso de usuario de GitHub de la víctima, el mismo token que Codex usa para autenticarse con GitHub».

El problema, según BeyondTrust, se debe a una limpieza inadecuada de la entrada al procesar nombres de ramas de GitHub durante la ejecución de tareas en la nube. Debido a esta insuficiencia, un atacante podría inyectar comandos arbitrarios a través del parámetro de nombre de rama en una solicitud HTTPS POST a la API del Codex backend, ejecutar cargas útiles maliciosas dentro del contenedor del agente y recuperar tokens de autenticación confidenciales.

«Esto otorgó movimiento lateral y acceso de lectura/escritura a todo el código base de la víctima», dijo Kinnaird McQuade, arquitecto jefe de seguridad de BeyondTrust. dicho en una publicación en X. OpenAI lo parchó a partir del 5 de febrero de 2026, después de que se informara el 16 de diciembre de 2025. La vulnerabilidad afecta al sitio web ChatGPT, Codex CLI, Codex SDK y la extensión Codex IDE.

El proveedor de ciberseguridad dijo que la técnica de inyección de comandos de rama también podría extenderse para robar tokens de acceso de instalación de GitHub y ejecutar comandos bash en el contenedor de revisión de código cada vez que se haga referencia a @codex en GitHub.

«Con la rama maliciosa configurada, hicimos referencia a Codex en un comentario sobre una solicitud de extracción (PR)», explicó. «Codex luego inició un contenedor de revisión de código y creó una tarea en nuestro repositorio y sucursal, ejecutando nuestra carga útil y reenviando la respuesta a nuestro servidor externo».

La investigación también destaca un riesgo creciente de que el acceso privilegiado otorgado a los agentes de codificación de IA pueda usarse como arma para proporcionar una «ruta de ataque escalable» a los sistemas empresariales sin activar los controles de seguridad tradicionales.

«A medida que los agentes de IA se integran más profundamente en los flujos de trabajo de los desarrolladores, la seguridad de los contenedores en los que se ejecutan (y la entrada que consumen) debe tratarse con el mismo rigor que cualquier otro límite de seguridad de la aplicación», dijo BeyondTrust. «La superficie de ataque se está expandiendo y la seguridad de estos entornos debe seguir el ritmo».

Un funcionario encargado de hacer cumplir la ley chino intentó utilizar ChatGPT para revisar sus informes sobre operaciones cibernéticas, y posteriormente reveló detalles de una campaña mundial de acoso y silenciamiento en línea de los críticos de China en el país y en el extranjero.

En una nueva amenaza informe Publicado el miércoles, OpenAI dijo que la actividad se refería a una sola cuenta que usaba regularmente ChatGPT para revisar y editar informes sobre «operaciones cibernéticas especiales». Esa misma cuenta también intentó utilizar ChatGPT para planificar una campaña de propaganda contra el primer ministro japonés Sanae Takaichi. Cuando la modelo se negó, el actor regresó semanas después con indicaciones que indicaban que la operación había procedido de todos modos.

Los informes subidos a ChatGPT «sugirieron que los actores de amenazas habían llevado a cabo muchas otras operaciones anteriores, en un esfuerzo integral para reprimir la disidencia y silenciar a los críticos tanto en línea como fuera de línea, en el país y en el extranjero», decía el informe.

Si bien solo hay evidencia de una sola cuenta utilizada por la agencia, OpenAI dijo que las operaciones dirigidas a los críticos chinos descritas en el informe parecen «a gran escala, requieren muchos recursos y son sostenidas», y consisten en cientos de personal humano, miles de cuentas falsas en diferentes plataformas de redes sociales y el uso de modelos locales de inteligencia artificial chinos.

Estas operaciones incluyeron publicaciones masivas y generación de contenido, inundando empresas de redes sociales con quejas falsas sobre cuentas propiedad de disidentes, falsificación de documentos y, en algunos casos, incluso haciéndose pasar por funcionarios estadounidenses para intimidar.

Una campaña separada que involucraba un grupo de cuentas que «probablemente se originaron» en China continental solicitó a ChatGPT información sobre «personas, foros y ubicaciones de edificios federales estadounidenses».

Las cuentas también generaron borradores de correo electrónico supuestamente de una empresa llamada Nimbus Hub Consulting con sede en Hong Kong, pero el informe de OpenAI señala que las cuentas utilizaron VPN y solicitaron que el modelo utilizara caracteres del idioma chino simplificado, que se asocia más comúnmente con China continental.

OpenAI dijo que, cuando se le preguntó sobre las entidades estadounidenses, ChatGPT también proporcionó fuentes de información «disponibles públicamente» sobre las ubicaciones de las oficinas del gobierno federal de los EE. UU., la distribución de empleados federales por estado, foros profesionales y sitios web de empleo en las industrias económica y financiera de los EE. UU.

Los actores chinos generaron correos electrónicos en inglés para funcionarios estatales estadounidenses y analistas de políticas comerciales y financieras, invitándolos a unirse a consultas pagadas y ofrecer asesoramiento estratégico a los clientes de los actores.

Estos correos electrónicos frecuentemente buscarían trasladar la conversación a otra plataforma de videoconferencia, como WhatsApp, Zoom o Teams. Una de las cuentas subió sus especificaciones de hardware y solicitó instrucciones no técnicas paso a paso para instalar un software de intercambio de rostros en tiempo real llamado FaceFusion.

«El modelo respondió con información extraída del sitio web y la documentación disponibles públicamente de FaceFusion», dijo OpenAI.

No hay evidencia de ciberataques automatizados

El informe se centró principalmente en cómo los ciberdelincuentes y los actores estatales utilizaron ChatGPT para respaldar estafas e influir en las operaciones. OpenAI detalló cuatro operaciones de información encubierta y tres operaciones de estafa romántica. Además de las operaciones de influencia chinas, también informó sobre el contenido de propaganda generado para Rybar, un grupo de influencia en línea alineado con Rusia.

El informe de OpenAI detalla cómo algunos operadores utilizaron ChatGPT para automatizar tareas aisladas, como una estafa romántica camboyana que combinaba operadores humanos y de IA al comunicarse con las víctimas. El informe no citó ningún caso de actores de amenazas que utilicen ChatGPT para operaciones de piratería ofensiva directa.

Las herramientas de inteligencia artificial pueden brindar a actores legítimos y maliciosos acceso a una velocidad y escala tremendas en línea. Durante el año pasado, los piratas informáticos chinos habrían utilizado al menos otro modelo de inteligencia artificial fabricado en Estados Unidos para realizar ciberataques altamente automatizados contra empresas y gobiernos.

Durante una sesión de preguntas y respuestas con los medios, un funcionario de OpenAI dijo que no tenía conocimiento de ningún caso en el que los actores de amenazas usaran ChatGPT para llevar a cabo ataques automatizados, pero agregó que la compañía tiene múltiples investigaciones en curso que no han concluido.

Gran parte de la actividad observada en el informe de OpenAI sigue un patrón común, detallando a los actores de amenazas que todavía están en pleno proceso de experimentar con la tecnología de IA y aprender dónde proporciona el mayor valor en su cadena de operaciones.

Algunos lo utilizaron para generar contenido propagandístico en torno a un objetivo específico, monitorear plataformas de redes sociales o proporcionar una mejor traducción de idiomas para señuelos de phishing. Pero de manera similar a lo que informó Google a principios de este mes, en la mayoría de los casos los actores de amenazas están utilizando la IA de manera limitada y específica como amplificador de las operaciones existentes.

En algunos casos, está claro que ChatGPT es una de las múltiples herramientas de inteligencia artificial que utiliza el actor de amenazas. En el caso de la agencia policial china, Los informes de estado cargados en el modelo sobre operaciones de información hacen referencia al uso de modelos de IA chinos implementados localmente como DeepSeek, y es probable que el grupo haya utilizado un modelo diferente para prepararse para su campaña de propaganda contra Taikaichi.

«La actividad de amenazas rara vez se limita a una plataforma; como muestra nuestro informe… muestra, no siempre se limita a un modelo de IA», dice el informe. «Más bien, los actores de amenazas pueden utilizar diferentes modelos de IA en distintos puntos de su flujo de trabajo operativo».

Un funcionario encargado de hacer cumplir la ley chino intentó utilizar ChatGPT para revisar sus informes sobre operaciones cibernéticas, y posteriormente reveló detalles de una campaña mundial de acoso y silenciamiento en línea de los críticos de China en el país y en el extranjero.

En una nueva amenaza informe Publicado el miércoles, OpenAI dijo que la actividad se refería a una sola cuenta que usaba regularmente ChatGPT para revisar y editar informes sobre «operaciones cibernéticas especiales». Esa misma cuenta también intentó utilizar ChatGPT para planificar una campaña de propaganda contra el primer ministro japonés Sanae Takaichi. Cuando la modelo se negó, el actor regresó semanas después con indicaciones que indicaban que la operación había procedido de todos modos.

Los informes subidos a ChatGPT «sugirieron que los actores de amenazas habían llevado a cabo muchas otras operaciones anteriores, en un esfuerzo integral para reprimir la disidencia y silenciar a los críticos tanto en línea como fuera de línea, en el país y en el extranjero», decía el informe.

Si bien solo hay evidencia de una sola cuenta utilizada por la agencia, OpenAI dijo que las operaciones dirigidas a los críticos chinos descritas en el informe parecen «a gran escala, requieren muchos recursos y son sostenidas», y consisten en cientos de personal humano, miles de cuentas falsas en diferentes plataformas de redes sociales y el uso de modelos locales de inteligencia artificial chinos.

Estas operaciones incluyeron publicaciones masivas y generación de contenido, inundando empresas de redes sociales con quejas falsas sobre cuentas propiedad de disidentes, falsificación de documentos y, en algunos casos, incluso haciéndose pasar por funcionarios estadounidenses para intimidar.

Una campaña separada que involucraba un grupo de cuentas que «probablemente se originaron» en China continental solicitó a ChatGPT información sobre «personas, foros y ubicaciones de edificios federales estadounidenses».

Las cuentas también generaron borradores de correo electrónico supuestamente de una empresa llamada Nimbus Hub Consulting con sede en Hong Kong, pero el informe de OpenAI señala que las cuentas utilizaron VPN y solicitaron que el modelo utilizara caracteres del idioma chino simplificado, que se asocia más comúnmente con China continental.

OpenAI dijo que, cuando se le preguntó sobre las entidades estadounidenses, ChatGPT también proporcionó fuentes de información «disponibles públicamente» sobre las ubicaciones de las oficinas del gobierno federal de los EE. UU., la distribución de empleados federales por estado, foros profesionales y sitios web de empleo en las industrias económica y financiera de los EE. UU.

Los actores chinos generaron correos electrónicos en inglés para funcionarios estatales estadounidenses y analistas de políticas comerciales y financieras, invitándolos a unirse a consultas pagadas y ofrecer asesoramiento estratégico a los clientes de los actores.

Estos correos electrónicos frecuentemente buscarían trasladar la conversación a otra plataforma de videoconferencia, como WhatsApp, Zoom o Teams. Una de las cuentas subió sus especificaciones de hardware y solicitó instrucciones no técnicas paso a paso para instalar un software de intercambio de rostros en tiempo real llamado FaceFusion.

«El modelo respondió con información extraída del sitio web y la documentación disponibles públicamente de FaceFusion», dijo OpenAI.

No hay evidencia de ciberataques automatizados

El informe se centró principalmente en cómo los ciberdelincuentes y los actores estatales utilizaron ChatGPT para respaldar estafas e influir en las operaciones. OpenAI detalló cuatro operaciones de información encubierta y tres operaciones de estafa romántica. Además de las operaciones de influencia chinas, también informó sobre el contenido de propaganda generado para Rybar, un grupo de influencia en línea alineado con Rusia.

El informe de OpenAI detalla cómo algunos operadores utilizaron ChatGPT para automatizar tareas aisladas, como una estafa romántica camboyana que combinaba operadores humanos y de IA al comunicarse con las víctimas. El informe no citó ningún caso de actores de amenazas que utilicen ChatGPT para operaciones de piratería ofensiva directa.

Las herramientas de inteligencia artificial pueden brindar a actores legítimos y maliciosos acceso a una velocidad y escala tremendas en línea. Durante el año pasado, los piratas informáticos chinos habrían utilizado al menos otro modelo de inteligencia artificial fabricado en Estados Unidos para realizar ciberataques altamente automatizados contra empresas y gobiernos.

Durante una sesión de preguntas y respuestas con los medios, un funcionario de OpenAI dijo que no tenía conocimiento de ningún caso en el que los actores de amenazas usaran ChatGPT para llevar a cabo ataques automatizados, pero agregó que la compañía tiene múltiples investigaciones en curso que no han concluido.

Gran parte de la actividad observada en el informe de OpenAI sigue un patrón común, detallando a los actores de amenazas que todavía están en pleno proceso de experimentar con la tecnología de IA y aprender dónde proporciona el mayor valor en su cadena de operaciones.

Algunos lo utilizaron para generar contenido propagandístico en torno a un objetivo específico, monitorear plataformas de redes sociales o proporcionar una mejor traducción de idiomas para señuelos de phishing. Pero de manera similar a lo que informó Google a principios de este mes, en la mayoría de los casos los actores de amenazas están utilizando la IA de manera limitada y específica como amplificador de las operaciones existentes.

En algunos casos, está claro que ChatGPT es una de las múltiples herramientas de inteligencia artificial que utiliza el actor de amenazas. En el caso de la agencia policial china, Los informes de estado cargados en el modelo sobre operaciones de información hacen referencia al uso de modelos de IA chinos implementados localmente como DeepSeek, y es probable que el grupo haya utilizado un modelo diferente para prepararse para su campaña de propaganda contra Taikaichi.

«La actividad de amenazas rara vez se limita a una plataforma; como muestra nuestro informe… muestra, no siempre se limita a un modelo de IA», dice el informe. «Más bien, los actores de amenazas pueden utilizar diferentes modelos de IA en distintos puntos de su flujo de trabajo operativo».