Sept défauts critiques dans ChatGPT-4o et ChatGPT-5 laissent les pirates voler des données et des sessions de détournement avec une interaction utilisateur minimale, certains encore dépatchés. Seven critical flaws in ChatGPT-4o and ChatGPT-5 let hackers steal data and hijack sessions with minimal user interaction, some still unpatched.

Des chercheurs en ligne ont découvert sept vulnérabilités critiques dans OpenAI. ChatGPT-4o et ChatGPT-5, collectivement appelés « HackedGPT », permettant aux attaquants de voler des données et de détourner des sessions par injection rapide indirecte. Tenable researchers have uncovered seven critical vulnerabilities in OpenAI’s ChatGPT-4o and ChatGPT-5, collectively named "HackedGPT," enabling attackers to steal data and hijack sessions via indirect prompt injection. Les explorations peuvent se produire avec un clic zéro ou un clic utilisateur, en utilisant des liens malveillants ou un code caché dans le contenu Web, et inclure une injection de mémoire persistante qui conserve des commandes nuisibles à travers les sessions. Exploits can occur with zero or one user click, using malicious links or hidden code in web content, and include persistent memory injection that retains harmful commands across sessions. Certains défauts restent inattaquables, en particulier dans ChatGPT-5, permettant des fuites de données et des contournements de sécurité continus. Some flaws remain unpatched, particularly in ChatGPT-5, allowing ongoing data leaks and safety bypasses. Les chercheurs avertissent les organisations de traiter les systèmes d'IA comme des surfaces d'attaque actives et d'appliquer des contrôles, un isolement et une surveillance rigoureux. Researchers warn organizations to treat AI systems as active attack surfaces and implement strict controls, isolation, and monitoring.