OpenAI herstelt kritiek datalek in ChatGPT na melding Check Point

Het lek maakte gebruik van de Code Execution Runtime, de geïsoleerde Linux-omgeving waarin ChatGPT Python-code draait om data te analyseren. Hoewel OpenAI deze omgeving strikt afschermt van het openbare internet, ontdekten onderzoekers dat er één achterdeur openstond: het DNS-protocol.

De aanval: Eén prompt is genoeg

De aanval begon met een zogeheten "malafide prompt". Een gebruiker hoefde alleen maar een specifieke set instructies in een chat te kopiëren – bijvoorbeeld vermomd als een handige "productiviteits-hack" of een truc om gratis premium-functies te ontgrendelen.

Vanaf dat moment veranderde de conversatie in een aftapstation. Alles wat de gebruiker daarna typte of uploadde, kon door de AI worden samengevat en in kleine stukjes gecodeerde tekst worden verpakt. Deze tekstfragmenten werden vervolgens als onderdeel van een DNS-aanvraag naar een server van de aanvaller gestuurd.

Omdat DNS (het systeem dat domeinnamen vertaalt naar IP-adressen) een essentieel onderdeel is van netwerkverkeer, werd dit niet herkend als een datalek. De gebruiker zag geen waarschuwingen en hoefde geen toestemming te geven voor de verzending.

Malafide GPT’s als "digitale dokters"

Het risico was nog groter bij aangepaste GPT’s. Onderzoekers bouwden een Proof of Concept (PoC) van een "persoonlijke dokter"-GPT. Wanneer een patiënt zijn laboratoriumuitslagen uploadde, analyseerde de GPT de resultaten naar behoren, maar stuurde op de achtergrond de naam van de patiënt en de medische conclusies direct door naar de hacker.

Zelfs wanneer de gebruiker expliciet vroeg of de data ergens heen werd gestuurd, ontkende ChatGPT dit stellig, onwetend van het actieve lek in de onderliggende infrastructuur.

Van datadiefstal naar volledige controle

Naast het stelen van data kon het kanaal ook in omgekeerde richting worden gebruikt. De onderzoekers slaagden erin een 'remote shell' te vestigen: een directe verbinding waarmee zij commando’s konden uitvoeren binnen de Linux-omgeving van ChatGPT. Hierdoor kregen zij volledige controle over de rekencapaciteit van de container, buiten het zicht van de veiligheidsfilters van het AI-model.

Oplossing en lessen

Check Point Research rapporteerde de bevindingen aan OpenAI. De AI-gigant bevestigde dat het probleem intern was geïdentificeerd en dat er op 20 februari 2026 een volledige fix is uitgerold.

De ontdekking onderstreept een fundamenteel probleem: naarmate AI-assistenten krachtiger worden en fungeren als volledige besturingssystemen die code kunnen draaien, neemt het aanvalsoppervlak exponentieel toe. Voor gebruikers blijft het advies: wees uiterst voorzichtig met het kopiëren van prompts uit onbekende bronnen en het delen van zeer gevoelige informatie met AI-systemen.