最新ニュース
  • ライブ イランはイスラエルによるレバノン攻撃を理由にトランプ政権との和平協議を破棄し、市場は下落した。
    12時間前 ライブアップデート
  • ブライアン・スティール下院議員は、議会が予測市場での賭けに参加することを阻止する法案を提出した。
    35分前 規制
  • ナンセンCEO:「稀なミスがなければ、CZはSBFの1000億ドル規模のポートフォリオを所有していた可能性があった」
    2時間前の ニュース
  • ブルームバーグによるポリマーケットのインサイダー取引調査は、タイミングの良い取引だったとして却下された。
    3時間前の ニュース
あなたへのおすすめ
  • Z.aiのGLM-5.2がオープンソースAIモデルのトップに躍り出た
    Z.aiのGLM-5.2はOpenAIとAnthropicとの差を縮める
    11時間前 テクノロジー
  • OpenAIがChatGPT Enterprise向けにアップグレードされた利用状況分析機能とAI支出管理機能を導入
    OpenAIがChatGPT Enterprise向けにクレジット tracと支出制限機能を展開
    21時間前 テクノロジー
  • Cryptopolitan レポート:AIエージェントにウォレットの鍵を渡しますか?読者の大多数は「いいえ」と答えましたが、それはあなたが思っているよりも近い未来です。
    2026年6月18日 ニュース
週刊
トップの座を維持する

最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.

ChatGPT が SSRF 脆弱性を悪用したカスタム GPT を使用してハッキングされる

によるフローレンス・ムチャイフローレンス・ムチャイ
読了時間3分 2025年11月13日
ChatGPT が SSRF 脆弱性を悪用したカスタム GPT を使用してハッキングされる
  • 研究者が ChatGPT のカスタム GPT「アクション」機能に重大な SSRF 脆弱性を発見し、内部のクラウドdent情報が漏洩する危険性があります。.
  • この脆弱性により、Azure Instance Metadata Service へのアクセスが許可され、攻撃者が OpenAI のクラウド環境を完全に制御できるようになる可能性があります。.
  • OpenAI は、改良された命令追跡、適応型推論、即時モデル強化、およびユーザー向けの新しいカスタマイズ オプションを備えた GPT-5.1 をリリースしました。.

OpenAIの大規模言語モデルChatGPTは、今週初めに研究者によってカスタムGPTの「アクション」機能内に発見されたセキュリティ上の欠陥を修正しました。研究者によると、攻撃者はサーバーサイドリクエストフォージェリ(SSRF)のバグを悪用し、AIモデルのクラウド内の内部dent情報を漏洩させる可能性がありました。.

オープンセキュリティエンジニアでありバグハンターでもあるSirLeeroyJenkins氏は、初めてのカスタムGPTを作成中にSSRF脆弱性の存在を「察知」しました。アクション機能を使用すると、ユーザーはOpenAPIスキーマを使用して外部APIを defiし、AIが気象データの取得などの特定のタスクを実行する際にそれらを呼び出すことができます。.

SirLeeroyJenkins氏は自身のAPIをテストしていた際、システムがユーザー指定のURLからデータを返すことを発見しました。この動作に不安を感じた彼は、SSRFの問題の可能性を疑い、さらにテストを実施しました。.

「この機能がユーザーが指定したURLからデータを返す可能性があることに気づいた瞬間、ハッカーの本能が働き始めました」と彼は語った。「SSRFをチェックせざるを得ませんでした。」

SSRF の脆弱性によりカスタム GPT が安全でなくなる可能性がある 

今週初めに公開されたジェンキンスのMedium記事で説明されているように、サーバーサイドリクエストフォージェリ(SSF)は、アプリケーションを騙して意図しない宛先にリクエストを送信させるWebの脆弱性です。アプリケーションがユーザーから提供されたURLを適切に検証しない場合、攻撃者はサーバーのアクセス権限を利用して内部ネットワークやクラウドメタデータサービスに侵入することができます。

ChatGPT が SSRF 脆弱性を悪用したカスタム GPT を使用してハッキングされる
基本的なフルリードSSRFチャート。出典:SirLeeroyJenkinsのMediumブログ。.

SSRF は 2021 年に OWASP トップ 10 リストに載るほど蔓延しており、クラウド環境における安全でないデフォルト構成によって重要なシステムが危険にさらされる可能性があるため、潜在的な被害が拡大しています。.

ジェンキンス氏は、SSRFには主にフルリード型とブラインド型の2種類があると説明しました。フルリード型SSRFは、標的のサービスから攻撃者に直接データを返します。一方、ブラインド型SSRFはレスポンスを開示しませんが、タイミングベースのポートスキャンなどを通じて内部サービスとのやり取りを可能にします。.

を保存するAzureのインスタンスメタデータサービス(IMDS)にAPI URLを向けることで、脆弱性をテストしたdentが必要となる Metadata: True ため、最初の試みで要求されたヘッダーを提供できなかったことに彼は驚いた。

カスタムGPT機能は当初、HTTPS URLを強制していたため、このエクスプロイトをブロックしました。Azure IMDSはHTTP経由で動作しますが、カスタムGPT機能はHTTPS URLを強制していました。外部HTTPSエンドポイントから内部メタデータURLへの302リダイレクトを使用して、サーバーはリダイレクトに従いました。しかし、Azureは必要なヘッダーがないアクセスをブロックしました。.

「サーバーは302リダイレクトに従ったため、内部メタデータURLからのレスポンスを返しました。これでミッション完了、ですよね? 違います。メタデータサービスからのレスポンスは、必要なヘッダーが設定されていないことを示していました」とSirLeeroyJenkins氏は指摘しました。.

レスポンスの調査を続けた後、この機能では任意の名前を付けられるカスタムAPIキーが許可されていることがわかりました。彼は、メタデータサービスへのGPTアクセスを許可するために必要なヘッダーが挿入された、値trueを持つキーMetadata の名前を試しました。

ジェンキンス氏はすぐに OpenAI の Bugcrowd プログラムに脆弱性を報告し、この問題には高い重大度が割り当てられ、その後修正プログラムが適用されました。.

また、Open Security 社は以前、セキュリティ監査のために大手グローバル金融機関の脆弱な請求書生成機能を悪用するために、このタイプの SSRF 攻撃チェーンを使用していたとも述べています。.

OpenAI、バージョン5.0の混乱を経てGPT-5.1をリリース

ChatGPT関連のニュースとして、OpenAIはGPT-5.1のリリースを発表し、バージョン5.0からいくつかのアップデートを行い、指示に従う能力と適応推論能力を向上させたと謳っている。. 

「GPT-5.1がリリースされました!素晴らしいアップグレードです。特に、指示に従う能力と適応思考力の向上が気に入っています。知能とスタイルの向上も素晴らしいですね」と、CEOのサム・アルトマン氏は水曜日の夜遅くにXに書き込みました

テクノロジーライターのメフル・グプタ氏は、GPT-5.1を前身のGPT-5と比較テストし、 GPT-5は洗練されていて役に立つものの、単純なタスクを過度に複雑にしてしまうことがあると指摘した。GPT-5.1のインスタントバージョンは、理解力が向上し、微妙な適応的な間合いによって、より「文脈を意識した」応答が得られるとされている。

あるテストで、グプタ氏は両方のモデルに6語で回答するよう指示しました。GPT-5は過剰な説明を試みましたが、GPT-5.1は簡潔で正確な回答を返しました。. 

アルトマン氏はまた、デフォルト、フレンドリー、効率的、プロフェッショナル、率直、または奇妙な 7 つの新しいプリセットが追加されたが、ユーザーはそれを「自分で調整する」こともできると発表しました。

最も賢い暗号通貨マインドを持つ人々はすでに私たちのニュースレターを読んでいます。参加してみませんか?ぜひ ご参加ください

この記事を共有する

免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
フローレンス・ムチャイ

フローレンス・ムチャイ

フローレンスは過去6年間、暗号通貨、ゲーム、テクノロジー、AI関連のニュースを取材してきました。メルー科学技術大学でコンピュータ科学を、メルー科学技術大学で災害管理と国際外交を専攻した経験は、彼女に語学力、観察力、そして技術力を十分に備えさせています。フローレンスはVAPグループで勤務したほか、複数の暗号通貨メディアで編集者として活躍してきました。.

目次
1. SSRF の脆弱性によりカスタム GPT が安全でなくなる可能性がある
2. OpenAI、バージョン5.0の混乱を経てGPT-5.1をリリース
この記事を共有する
もっと…ニュース
すべて表示
チャットGPT

ChatGPTの5つの独創的な活用法と、それに対する対処法
3年前 テック ジョン・パーマー
AIを活用したソリューション

ロイター:93%のビジネスリーダーがブランドサステナビリティ管理にAIを活用したソリューションを支持
3年前 テック ジョン・パーマー
フランスのAIエコシステム

マクロン氏がフランスの活気に満ちた生産的なAIエコシステムをどのように支援しているか
3年前 テック グローリーカブル
生成AI

ブルームバーグは、生成AI市場が2032年までに1.3兆ドルに達すると予測している。
3年前 テック アミール・シェイク
  • Base とは何ですか? Coinbase が立ち上げた Ethereum レイヤー 2 ネットワーク。.
    BASEとは?Coinbaseが立ち上げた Ethereum レイヤー2ネットワーク
    2025年10月21日 暗号通貨を学ぶ:初心者向けガイド
  • Dogecoin vs. Bitcoin:主な技術的違い
    Dogecoin vs. Bitcoin:主な技術的違い
    2025年10月20日 暗号通貨を学ぶ:初心者向けガイド
  • 暗号通貨の TVL (Total Value Locked) とは何ですか?
    暗号通貨の TVL (Total Value Locked) とは何ですか?
    2025年10月14日 暗号通貨を学ぼう:初心者向けガイド
  • 暗号通貨のホワイトペーパーの読み方
    暗号通貨のホワイトペーパーの読み方
    2025年10月13日 暗号通貨を学ぼう:初心者向けガイド
  • Ripple と XRP と XRP Ledger の違いは何ですか?
    Ripple と XRP と XRP Ledger の違いは何ですか?
    2025年10月13日 暗号通貨を学ぼう:初心者向けガイド
  • 暗号通貨のマルチシグウォレットとは何ですか?
    暗号通貨のマルチシグウォレットとは何ですか?
    2025年10月10日 暗号通貨を学ぼう:初心者向けガイド
ディープ クリプト
速習コース
  • どの仮想通貨でお金が稼げるか
  • ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
  • プロが使う、あまり知られていない投資戦略
  • 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)