ChatGPT มีช่องโหว่แอบขโมยข้อมูลผ่าน DNS แต่ OpenAI แก้ด่วน

สรุปประเด็นร้อนวันนี้ค่ะ เช็กด่วนสำหรับสายแชทที่ชอบโยนข้อมูลสำคัญให้ AI เพราะล่าสุด Check Point Research (CPR) เพิ่งตรวจเจอช่องโหว่ร้ายแรงใน ChatGPT ที่ทำให้แฮกเกอร์แอบจิ๊กข้อมูลเราออกไปได้แบบเงียบกริบ!

ปกติเวลาเราคุยกับ ChatGPT เรามักจะส่งทั้งเรื่องส่วนตัว ผลตรวจร่างกาย สัญญาจ้าง หรือแม้แต่สลิปโอนเงิน เพราะเชื่อว่าระบบมันเซฟ ข้อมูลไม่หลุดออกไปไหนแน่ๆ ถ้าเราไม่อนุญาต

แผนเหนือเมฆ: ขโมยข้อมูลผ่าน DNS
เจ้าช่องโหว่นี้แสบมากค่ะ เพราะมันไม่ได้ส่งข้อมูลออกทาง HTTP หรือ API แบบที่ระบบรักษาความปลอดภัยทั่วไปจะดักจับได้ แต่มันใช้วิธี "ส่งผ่าน DNS" (ระบบที่ใช้แปลงชื่อเว็บ) ซึ่งปกติ AI จะมองว่าเป็นแค่โครงสร้างพื้นฐานที่ไม่อันตราย เลยไม่มีการแจ้งเตือนหรือขออนุญาตผู้ใช้เลย

วิธีที่แฮกเกอร์ใช้: * หลอกล่อด้วยการฉีดคำสั่ง (Prompt Injection) ผ่านอีเมลหรือไฟล์ PDF

สร้าง Custom GPT ปลอมขึ้นมา (เช่น แชทบอทวิเคราะห์ผลเลือด) พอเราอัปโหลดไฟล์ไปปุ๊บ มันก็จะแอบส่งข้อมูลสำคัญไปที่เซิร์ฟเวอร์ของแฮกเกอร์ทันที

โดนสองเด้ง! ช่องโหว่ Codex ก็มา
ไม่ใช่แค่ ChatGPT นะคะ เพราะตัว Codex ก็โดนด้วย! มีรายงานว่าเจอปัญหา Command Injection ที่ทำให้แฮกเกอร์สามารถขโมย Token ของ GitHub ได้เลย ซึ่งถ้าหลุดไปนี่เรื่องใหญ่ เพราะเขาสามารถเข้าไปยุ่งกับโปรเจกต์งานต่างๆ ใน GitHub ได้สบายๆ

รอดตัวไป! OpenAI อัปเดตแพตช์เรียบร้อย
โชคดีที่ทีมวิจัยเจอเรื่องนี้ก่อนที่จะมีการเอาไปใช้จริง และได้แจ้ง OpenAI ให้รีบแก้ไข ซึ่งตอนนี้ทาง OpenAI ได้ปล่อยตัวอัปเดตแก้ไขช่องโหว่ทั้งหมดเรียบร้อยแล้วตั้งแต่วันที่ 20 กุมภาพันธ์ 2026 ค่ะ

บทเรียนครั้งนี้สอนให้รู้ว่า ถึง AI จะฉลาดแค่ไหน แต่เราก็ไม่ควรไว้ใจโยนข้อมูลลับสุดยอดลงไปแบบ 100% นะคะ เพราะระบบหลังบ้านอาจจะมีรูรั่วที่เรานึกไม่ถึงได้เสมอ