Wordt je aangevallen?
.png)
Wanneer het AI-platform zelf het lek is
Hoe onderzoekers een verborgen communicatiekanaal in ChatGPT ontdekten, en wat dat betekent voor organisaties die AI inzetten in hun werkprocessen
Organisaties vertrouwen AI-assistenten steeds vaker met gevoelige informatie. Medewerkers uploaden contracten, financiële overzichten, laboratoriumresultaten, interne beleidsnotities en strategische rapportages. Ze doen dat vanuit een redelijke verwachting: dat de gegevens die zij in het platform invoeren, ook binnen dat platform blijven. Dat is immers wat de leverancier communiceert, en wat de gebruikersinterface suggereert.
Beveiligingsonderzoekers van Check Point Research publiceerden eind maart 2026 een onderzoek dat aantoont hoe kwetsbaar die verwachting in de praktijk kan zijn. Ze ontdekten een verborgen uitwaarts communicatiekanaal in de code-uitvoeringsomgeving van ChatGPT, waarmee gegevens uit een lopende conversatie ongemerkt naar een externe server konden worden doorgestuurd. Zonder waarschuwing. Zonder bevestigingsverzoek. Volledig buiten het zicht van de gebruiker. En terwijl het systeem op een directe vraag antwoordde dat er niets was verstuurd.
.png)
Wat ChatGPT belooft en waarom dat relevant is
Om de ernst van deze kwetsbaarheid te begrijpen, is het nuttig om eerst te kijken wat OpenAI zelf communiceert over de beveiliging van zijn platform. ChatGPT beschikt over een functie waarmee gebruikers Python-code kunnen laten uitvoeren. Die omgeving wordt aangeduid als de Data Analysis-omgeving, of in oudere documentatie als de Code Interpreter. OpenAI beschrijft deze omgeving als een beveiligde sandbox die geen directe uitgaande netwerkverbindingen kan opzetten.
Dat is bewust ontworpen. De gedachte is dat een geïsoleerde uitvoeringsomgeving voorkomt dat gegevens het platform verlaten via de code-uitvoering zelf. Gebruikers kunnen code laten uitvoeren, bestanden laten verwerken en berekeningen laten maken, zonder dat er een risico bestaat dat die code tegelijkertijd contact maakt met een externe server. Dat is de belofte.
ChatGPT biedt ook de mogelijkheid om zogenoemde custom GPTs te bouwen: gepersonaliseerde assistenten die door derden worden geconfigureerd en aangeboden aan gebruikers. Wanneer zo'n GPT via een officiële integratie gegevens naar een externe dienst verstuurt, verschijnt er een zichtbaar bevestigingsdialoogvenster. De gebruiker ziet wat er wordt verstuurd, ziet waarheen, en beslist of hij akkoord gaat. Dat is hoe gegevensuitwisseling met de buitenwereld volgens het ontwerp hoort te verlopen: zichtbaar, expliciet en door de gebruiker gecontroleerd.
De kwetsbaarheid die Check Point Research aantrof, sloeg een brug om al deze waarborgen heen.
.png)
DNS als transportkanaal: een techniek die verder gaat dan naamomzetting
De kern van de aanval ligt in een eigenschap van DNS-verkeer, het systeem dat domeinnamen omzet naar IP-adressen. Hoewel de ChatGPT-omgeving directe uitgaande verbindingen blokkeerde, bleek DNS-verkeer nog steeds beschikbaar vanuit de container. Dat is op het eerste gezicht een logische keuze: DNS is onderdeel van de normale netwerkwerking en wordt zelden als een risicovol protocol beschouwd.
Toch kan DNS ook worden ingezet als transportkanaal voor gegevens. Dat fenomeen staat bekend als DNS-tunneling: door gegevens te coderen in de subdomeinnamen van een DNS-opzoekverzoek en die verzoeken te laten afhandelen door een server onder controle van de aanvaller, kunnen gegevens de isolatielaag passeren via de reguliere resolverinfrastructuur. De gegevens rijden mee als blinde passagier in het DNS-verkeer, een kanaal dat beveiligingssystemen zelden actief filteren op uitwaartse datastroom.
In de proof-of-concept van Check Point Research werd dit mechanisme niet alleen gebruikt om gegevens uit te sturen, maar ook om opdrachten terug te ontvangen. Door kleine commando-fragmenten te coderen in DNS-antwoorden en die terug te sturen via hetzelfde resolverpad, konden de onderzoekers een bidirectioneel kanaal opzetten: data naar buiten, instructies naar binnen. Daarmee was het in theorie mogelijk om op afstand commando's uit te voeren binnen de Linux-omgeving die ChatGPT gebruikt voor code-analyse, zonder dat die commando's zichtbaar waren in de gebruikersinterface of door de veiligheidsmechanismen van het model werden gefilterd.
Hoe de aanval er in de praktijk uitziet
De aanval begint met een kwaadaardige prompt. Dat is een reeks instructies die aan ChatGPT worden meegegeven en die het systeem instrueren om de hierboven beschreven exfiltratielogica te activeren. Zodra die prompt in een conversatie is geplaatst, wordt elke volgende gebruikersboodschap een potentiële bron van lekkage. Afhankelijk van hoe de prompt is geformuleerd, kan de aanvaller selectief data verzamelen: ruwe tekst, samenvattingen van geüploade documenten, of de meest waardevolle uitkomsten die het model genereert, zoals medische beoordelingen, juridische conclusies of financiële inzichten.
Het aanvalspad is sociaal van aard. Het internet staat vol met websites, forums en sociale media die "productiviteitsprompts" aanbieden. Prompts die ChatGPT slimmer, sneller of uitgebreider zouden maken. Het kopiëren en plakken van zo'n prompt in een nieuw chatvenster is voor veel gebruikers een alledaagse handeling die niet als risicovol wordt ervaren. Een kwaadaardige prompt die wordt verpakt als een handige tip of een methode om gratis toegang te krijgen tot betaalde functies, kan op die manier een groot aantal gebruikers bereiken zonder argwaan te wekken.
Nog gevaarlijker is het scenario waarbij de aanval rechtstreeks is ingebouwd in een custom GPT. In dat geval hoeft de gebruiker helemaal niets te kopiëren. De kwaadaardige logica zit verborgen in de instructies van de assistent zelf. Een GPT die zich voordoet als een medische assistent, een juridisch adviseur of een financieel instrument, kan zo zijn ingericht dat elke interactie ongemerkt naar een externe partij wordt doorgestuurd. De gebruikersinterface toont geen waarschuwingen. Er verschijnen geen bevestigingsdialoogvensters. En wanneer de gebruiker expliciet vraagt of de gegevens ergens naartoe zijn gegaan, antwoordt ChatGPT ontkennend.
De onderzoekers demonstreerden dit scenario met een proof-of-concept rondom een GPT die zich voordeed als persoonlijk arts. Een gebruiker uploadde een PDF met laboratoriumuitslagen, noemde zijn klachten en vroeg om een interpretatie. De GPT analyseerde het document en gaf een medische beoordeling. Tegelijkertijd ontving de server van de onderzoekers de naam van de patiënt en de volledige medische beoordeling, exact op het moment dat de conversatie plaatsvond.
.png)
De fix en wat die niet oplost
OpenAI werd door Check Point Research op de hoogte gesteld van de bevinding. OpenAI bevestigde dat het probleem intern al was geïdentificeerd en zette op 20 februari 2026 een volledige oplossing in productie. De kwetsbaarheid bestaat in de huidige versie van ChatGPT niet meer.
Dat neemt het probleem in engere zin weg. Maar het laat een bredere vraag onbeantwoord die voor organisaties relevant blijft.
De bredere les: AI-platforms als uitvoeringsomgevingen met aanvalsoppervlak
Modern AI-platforms zijn geen eenvoudige tekstverwerkingssystemen meer. Ze lezen bestanden, voeren code uit, raadplegen externe bronnen en produceren uitkomsten op basis van gevoelige invoer. Elke nieuwe functie die wordt toegevoegd, vergroot tegelijkertijd het aanvalsoppervlak. DNS-tunneling is een techniek die al decennia bestaat en in klassieke netwerkomgevingen goed begrepen wordt. Dat dezelfde techniek effectief was in een AI-sandbox illustreert hoe snel nieuwe uitvoeringsomgevingen beveiligingslagen introduceren die nog niet zijn getest tegen bekende aanvalsmethoden.
Dit is precies de reden waarom de NIS2-richtlijn organisaties verplicht om cybersecurity als bestuursvraagstuk te behandelen en niet als een technische aangelegenheid die op de IT-afdeling wordt belegd. Wanneer medewerkers in een organisatie gevoelige bedrijfsdata, persoonsgegevens of vertrouwelijke klantinformatie inbrengen in externe AI-platforms, is dat een risicobeslissing met potentiële compliance-implicaties. De vraag of die platforms veilig zijn ingericht is een vraag die bestuurders zichzelf moeten stellen, niet alleen systeembeheerders.
Dat vraagt om beleid rondom het gebruik van AI-assistenten: welke data mag worden ingebracht, in welke platforms, onder welke voorwaarden en met welke technische controles. Het vraagt ook om bewustzijn bij medewerkers dat het kopiëren van een prompt uit een onbekende bron niet risicovrij is, ook al lijkt de handeling onschuldig.
Wat dit vraagt van uw securityfundament
De kwetsbaarheid in ChatGPT is verholpen. Maar de techniek die eraan ten grondslag lag, DNS-tunneling als datastransportkanaal, is niet verdwenen. Die techniek kan in andere omgevingen opduiken, in andere platforms, in andere integraties. Organisaties die hun securityarchitectuur hebben gebouwd op de aanname dat bepaalde kanalen veilig zijn omdat ze technisch lijken beperkt, doen er goed aan die aanname periodiek te toetsen.
DNS-monitoring is een concreet voorbeeld van een maatregel die in veel organisaties nog onderbelicht is. Waar het blokkeren van uitgaand verkeer op bekende poorten standaard onderdeel is van firewallbeleid, wordt DNS-verkeer zelden actief geïnspecteerd op afwijkende patronen of ongebruikelijk hoge queryvolumes. Dat is een blinde vlek die los staat van AI-platforms en ook in traditionele netwerkomgevingen relevant is.
Cybersecurity is geen toestand die u eenmalig bereikt. Het is een voortdurend proces van beoordelen, aanpassen en verbeteren, naarmate het aanvalsoppervlak van uw organisatie verandert. AI-adoptie is daar op dit moment een van de snelst bewegende onderdelen van. De vraag is niet of uw organisatie AI gebruikt, maar hoe die inzet is gestructureerd, wie verantwoordelijk is voor de risicobeoordeling ervan, en of uw securityfundament is ingericht op de realiteit van AI als uitvoeringsomgeving.
Wilt u weten hoe uw organisatie de risico's rondom AI-gebruik structureel in kaart brengt en beheerst? Neem contact met ons op voor een gesprek over uw huidige situatie.
Hier zijn de voorgestelde SEO-velden voor dit blogartikel, afgestemd op de doelgroep van CyberPeak: besluitvormers in middelgrote en grotere Nederlandse organisaties met bedrijfskritische IT-omgevingen.
