OpenAI が公表：ChatGPT のデータ漏洩とCodex の GitHub トークン窃取の脆弱性

OpenAI Patches ChatGPT Data Exfiltration Flaw and Codex GitHub Token Vulnerability

2026/03/30 TheHackerNews — OpenAI ChatGPT に存在する未知の脆弱性により、ユーザーの認識や同意なしに機密性の高い会話データが外部へ送信される可能性があったことが、Check Point の新たな調査で明らかになった。同社は、「単一の悪意のプロンプトにより、通常の会話が秘匿的なデータ流出チャネルへと変化し、ユーザーメッセージ／アップロードファイルなどの機密情報が漏洩する可能性がある。また、バックドア化された GPT により、ユーザーの認識なしにデータへのアクセスが行われる」と指摘していた。

Check Point からの責任ある開示が行われた後の 2026年2月20日の時点で、OpenAI はこの問題に対応した。なお、悪用された証拠は確認されていない。

ChatGPT には、不正なデータ送信や直接的なアウトバウンド・ネットワーク・リクエストを防ぐガードレールが存在するが、この脆弱性を悪用する攻撃者は、それらを完全に回避する。その原因は、AI エージェントのコード実行およびデータ分析に使用される、Linux ランタイムに起因するサイドチャネルの欠陥である。

具体的には、DNS ベースの隠れた通信経路が悪用される。この手法では、DNS リクエストにエンコードされた情報が、可視的な AI ガードレールを回避する。つまり、Linux ランタイム内でのリモートシェル確立やコマンド実行にも、同一の経路の悪用が可能である。

この脆弱性は、警告やユーザー承認を必要とせずに動作するため、セキュリティ上の盲点が生じる。なぜなら、AI システムは、環境が隔離されていると誤認しているからである。

攻撃例として挙げられるのは、”無料でプレミアム機能を解放する” や “性能を改善する” と偽り、悪意のプロンプトをユーザーに貼り付けさせるという手法である。この手口が Custom GPT に組み込まれると、さらに危険性が増す。システム内部に悪意のロジックを埋め込むことで、ユーザー操作の誘導が不要になるからである。

Check Point は、「このモデルは、外部通信ができないという前提で動作している。そのため、この挙動は、外部データの転送と認識されず、警告や確認が発生しなかった」と説明している。

ChatGPT の企業利用が進み、機密情報の入力が増加する中、この種の脆弱性が示すのは、プロンプト・インジェクションなどに対抗する独自セキュリティ層の必要性である。

Check Point Research の Eli Smadja は、「AI ツールは、デフォルトで安全と想定すべきではない。機密データを扱う計算環境へと AI が進化する中、ネイティブなセキュリティだけでは不十分であり、独立した可視性と多層防御が必要になる」と述べている。

この問題は、悪意のブラウザ・エクステンションを介して、AI 会話を密かに収集する Prompt Poaching (プロンプト密猟) の増加とも関連する。この手法により、ユーザーの同意を必要とせずにチャット内容が外部へ送信される。

Expel の Ben Nahorney は「これらのエクステンションがもたらすのは、ID 盗難／標的型フィッシング／機密データの闇市場流通といったリスクである。企業環境では、知的財産や顧客データの漏洩につながる可能性がある」と指摘している。

OpenAI Codex におけるコマンド・インジェクション脆弱性

さらに、OpenAI Codex においても、深刻なコマンド・インジェクションの脆弱性が確認された。この脆弱性により、GitHub 認証トークンの窃取およびリポジトリ全体の侵害が引き起こされる可能性がある。

BeyondTrust によると、この脆弱性はタスク作成時の HTTP リクエストに存在し、GitHub ブランチ名を指すパラメータを通じて任意のコマンド注入へと至る。

この原因は、入力検証の不足にある。この欠陥を突く攻撃者は、HTTPS POST リクエストを介してブランチ名に悪意のコマンドを埋め込み、Codex API を通じてコンテナ内で実行できる。その結果として、認証トークンの取得が可能となる。

このトークンは、Codex が GitHub 認証に使用するものであるため、それを悪用する攻撃者は、被害者のコードベースに対する Read/Write 権限を得る。

この脆弱性は 2025年12月16日に報告され、2026年2月5日の時点で修正された。影響が及ぶ範囲は、ChatGPT Web／Codex CLI／Codex SDK／Codex IDE Extension である。

この攻撃の手法は、さらなる拡張が可能であり、GitHub Installation Access Token の窃取や、@codex コメントを悪用する bash コマンドの実行も可能になる。

BeyondTrust は、「AI コーディング・エージェントに付与された高権限は、従来のセキュリティ制御を回避するための、スケーラブルな攻撃経路になり得る」と指摘する。

AI エージェントが開発ワークフローに深く統合されるにつれて、実行コンテナと入力データのセキュリティに対して、従来のアプリケーションと同等の厳格な管理が求められる。攻撃面は拡大しているため、防御もそれに対応する必要がある。

訳者後書：OpenAI の ChatGPT および AI コーディングエージェント Codex に存在していた、深刻なデータ流出とコマンド実行の脆弱性について解説する記事です。 この問題の原因は、AI が動作する基盤となる Linux ランタイムの通信制限の不備と、入力されたデータに対する検証が不足していたことにあります。いくら高度な AI ツールであっても、その中身は、従来の Linux コンテナや API で動いているシステムであることが再認識させられます。AI だからデフォルトで安全 と思い込まずに、機密性の高いデータを扱う際には、ネットワークの可視化や入力データのサニタイズといった、基本的なセキュリティ対策を多層的に組み合わせることが必要です。よろしければ、OpenAI での検索結果も、ご参照ください。