Исследователи безопасности обнаружили семь методов, с помощью которых злоумышленники могут заставить ChatGPT раскрыть пользовательские данные и сохранённые воспоминания. Уязвимости затрагивают модели GPT-4o и GPT-5, при этом некоторые из них уже устранены, а другие всё ещё находятся на стадии анализа.
Как работают атаки?
Основная опасность заключается в так называемом «незаметном изъятии» данных: когда помощник анализирует веб-страницу или резюмирует её содержимое, встроенные в текст вредоносные инструкции могут заставить модель выдать конфиденциальный чат или сохранённую информацию. При этом пользователь может даже не увидеть текст, спровоцировавший утечку.
Семь выявленных техник охватывают все этапы взаимодействия ассистента с внешними данными: от обработки ссылок и контекста до работы с markdown и долговременной памятью. Например, косвенная инъекция промптов скрывает команды в веб-страницах, а «нулевой клик» использует уже проиндексированный контент через обычные поисковые запросы.
Особую тревогу вызывает техника «отравления памяти»: вредоносные инструкции могут сохраняться между сессиями, многократно повышая риски утечки личных данных. Также были зафиксированы случаи обхода защитных механизмов через allow-лист Bing — злоумышленники маскировали опасные редиректы под рекламные ссылки поисковой системы.
Что уже исправлено, а что остаётся риском?
OpenAI оперативно устранил часть проблем, однако исследователи подчёркивают: сама природа LLM делает подобные уязвимости структурной проблемой. Пока ассистенты читают непроверенный контент, переходят по ссылкам или хранят долговременные воспоминания, риски остаются неизбежными без многоуровневой защиты.
Эксперты рекомендуют воспринимать внешний контент как исполняемый код. Важно жёстко фильтровать URL-адреса, отключать автоматическую обработку параметров и вводить строгую политику управления памятью — с ограничением срока хранения и обязательной валидацией записей.
Как защититься уже сегодня?
Для снижения рисков советуют блокировать открытые редиректы, отключать автоматическое выполнение запросов из ссылок и изолировать ассистентов с функцией веб-поиска в корпоративной среде. Также стоит внедрить логирование всех внешних обращений и мониторинг подозрительных шаблонов промптов.
В ближайшем будущем можно ожидать более строгих настроек обработки ссылок, парсинга markdown и операций с памятью. Надёжные ИИ-ассистенты всё больше будут напоминать комплексные системы с многослойной защитой, а не просто «умные чаты».
Когда помощник становится проводником угрозы
Эти находки подтверждают тревожный тренд: с расширением функций — таких как браузинг, поиск и память — поверхность атаки ИИ-ассистентов растёт в направлениях, для которых классические веб-фильтры бесполезны. Без должной архитектурной гигиены каждое резюме чужого сайта может превратиться в ворота для утечки ваших данных.
