ChatGPT-4o/ChatGPT-5 の7つの脆弱性:Tenable HackedGPT が PoC を提供

HackedGPT – 7 New Vulnerabilities in GPT-4o and GPT-5 Enables 0-Click Attacks

2025/11/05 CyberSecurityNews — OpenAI の ChatGPT に存在する7件の深刻な脆弱性が、Tenable の HackedGPT により報告された。これらの脆弱性は GPT-4o/GPT-5 モデルに影響し、攻撃者が仕掛けるステルス性の高いゼロクリック攻撃によりユーザーの個人データが盗み出される可能性がある。これらの脆弱性は間接プロンプト・インジェクションを悪用するものであり、AI を操作するハッカーは、簡単なクエリ以外のユーザー操作を必要とすることなく、ユーザーの記憶やチャットの履歴から機密情報を抜き出すことができるという。

ChatGPT のような LLM (Large Language Models) は膨大な数のユーザーに利用されているが、今回の発見が浮き彫りにするのは、LLM が主要な情報源になりつつある時代における、より強力な AI 保護策の必要性と緊急性である。

これらの脆弱性は、システムプロンプト/メモリツール/Web ブラウジング機能を利用して、コンテキスト・レスポンスを提供する ChatGPT のコア・アーキテクチャに起因している。

OpenAI のシステムプロンプトには、デフォルトで有効化されている長期ユーザー記憶用の “bio” ツールや、検索または URL ブラウジングによるインターネット・アクセス用の “web” ツールなどの、モデルの機能が概説されている。

メモリには、過去の会話で重要と判断された個人情報が保存される可能性がある。その一方、この Web ツールは、セカンダリ AI である SearchGPT を用いてブラウジングとユーザー・コンテキストを分離し、理論上ではデータ漏洩を防止している。

しかし、Tenable の研究者たちが発見したのは、SearchGPT による分離だけでは不十分であり、プロンプト・インジェクションが ChatGPT に逆伝播することだ。

browsing via Search GPT
新たな攻撃手法が明らかに

7つの脆弱性の中で注目すべきは、Search Context におけるゼロクリック間接プロンプト・インジェクションである。それを悪用する攻撃者は、ニッチなトピックの検索を促すようにカスタマイズされた、インデックス付きの Web サイトを作成する。

Tenable Research が発見した ChatGPT の脆弱性7件について、以下に要約する:

  • Browsing Context を介した間接プロンプト・インジェクション:ブログのコメントなどに悪意の命令を隠す攻撃者は、SearchGPT に処理/要約させることで、ユーザーに気づかれることなく侵害する。
  • Search Context におけるゼロクリック間接プロンプト・インジェクション:ユーザーによる無害な質問をトリガーとして、自動的に表示される悪意のプロンプトを取り込んだ Web サイトをインデックス化する攻撃者は、ユーザーのクリックや操作を必要とせずに悪意のレスポンスへと誘導する。
  • URL Parameter を介したワンクリック・プロンプト・インジェクション:ユーザーが細工されたリンク (例:chatgpt.com/?q=malicious_prompt) をクリックすると、そのユーザーに知らせることなく、ChatGPT は攻撃者が制御する命令を実行する。
  • url_safe Safety Mechanism Bypass:ホワイトリストに登録された Bing.com のトラッキング・リンクを介して、悪意のリダイレクト URL が OpenAI のフィルタをすり抜ける攻撃者は、ビルトインされた保護も回避し、ユーザー・データを盗み出す。
  • Conversation Injection:SearchGPT の出力に命令を挿入する攻撃者は、ChatGPT を介して会話コンテキスト内の命令を読み取り実行する。それにより、攻撃者は自身を誘導し、連鎖的なエクスプロイトを可能にする。
  • Malicious Content Hiding:マークダウン・レンダリングの脆弱性を悪用する攻撃者は、ユーザーに知られることなく悪意のプロンプトを挿入し、モデル・メモリ内に保持することでエクスプロイトに利用する。
  • Persistent Memory Injection:攻撃者は ChatGPT を操作して永続メモリを更新し、情報漏洩命令を埋め込むことで、その後のセッションやインタラクションから個人情報が漏洩し続けるように操作する。
PoC と OpenAI の対応

Tenable が実証したのは、ブログ・コメントを介したフィッシング攻撃による悪意のリンクや、url_safe バイパスによる情報窃取のための画像マークダウンといった攻撃チェーン全体である。

GPT-4o/GPT-5 の PoC において、改竄されたブログ記事の要約や、検索結果の乗っ取りと永続的なデータ漏洩などにより、ユーザーへのフィッシング攻撃に至ることが実証された。これらのシナリオが浮き彫りにするのは、夕食のアイデアを尋ねるといった日常的な行動が、個人情報を漏洩させる可能性があることだ。

これらの問題が Tenable から OpenAI に開示されたことで、いくつかの脆弱性が技術研究アドバイザリ TRA-2025-22/TRA-2025-11/TRA-2025-06 で修正された。改善は見られたが、この種のインジェクションは LLM に固有の課題であり、また、いくつかの PoC に対して GPT-5 は依然として脆弱である。

SearchGPT のような、独立したコンポーネントへの依存は、高度な攻撃連鎖に対して脆弱であることが明らかになった。そのため、専門家たちは AI ベンダーに対し、安全メカニズムを厳格にテストするよう強く求めている。

進化する LLM は、従来の検索エンジンに匹敵するようになってきた。Tenable の HackedGPT が公表した調査結果は、ユーザーと企業にとって、AI への依存関係を精査し、外部監視を導入するための警鐘となるだろう。

Tenable の報告は、ChatGPT の設計上の仕組みが引き起こす脆弱性に焦点が当てるものです。それらの問題の原因は、Web ブラウジングやメモリ機能などの、複数のツールを組み合わせて動作するアーキテクチャにあります。本来は分離されているはずの SearchGPT のコンテキストが、プロンプト・インジェクションにより逆流して、ChatGPT 側のメモリや応答生成に影響を与える点が特に深刻だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、ChatGPT で検索を、ご参照ください。