世界を動かす技術を、日本語で。

OpenAI – 脆弱性の責任ある開示

概要

  • OpenAIの音声入力モデルで発生した「他人の会話が漏洩したように見える」バグの調査報告
  • 初動では本物の漏洩と誤認、後にOpenAIの技術説明で「幻覚生成」によるものと判明
  • 報告者は45日間の業界標準開示ウィンドウを守り、責任ある開示を実施
  • バグ報告・対応フローや透明性についての提言
  • 実際の個人情報漏洩は発生していないが、注意喚起と今後の改善要望

OpenAI音声入力モデルにおける「会話漏洩」誤認バグの調査報告

  • 2025年5月29日、 gpt-4o-transcribe モデル利用時に「他人の会話が見える」現象を発見
  • 音声ファイル(約1500秒)を送信した際、 本来の出力やエラーではなく、様々な言語や内容の会話文が返却される事象
  • 返却されたテキストには 実在しそうな会話・業務情報・コード 等が含まれていたため、 他ユーザーのデータ漏洩 と判断
  • 特に、 カザフスタンの実在企業に関する財務分析(Cyrillic表記) 等が含まれていたことが誤認の決定打

技術的原因とOpenAIの説明

  • OpenAIの調査により、 音声入力がモデルのトークン上限を超えた場合、空クエリとして扱われるバグ が判明
  • 空クエリの場合、 LLMがランダムなトークンから生成を開始 し、 一見意味のある文章やデータを「幻覚」生成 する挙動
  • 生成された数値や内容は 現実と一致せず、完全な合成データ であることが確認
  • 明示的なエラー表示がなかった ため、入力が空になっていることに気づけなかった点が誤認の要因
  • 2025年7月16日、OpenAIから 技術的説明とバグ修正済みの連絡 を受領

セキュリティ報告・開示プロセスへの提言

  • 報告者は 暗号化メールで公式窓口へ報告、自動返信のみで 45日間人間対応なし
  • OpenAIのバグバウンティポータルでは 開示後の情報公開を一切認めない規約 があり、 研究者の透明性確保と相反
  • Googleなど他社は 修正後の公開を推奨 し、 責任ある開示文化 を形成
  • セキュリティ対応のSLO(サービスレベル目標)明記3-5営業日以内の有人対応, 第三者ペンテストの定期実施 などを推奨
  • 善意の研究者への報奨情報公開の自由 の確保を要望

ユーザー・企業への注意喚起と今後の対応

  • 公式な修正・アドバイザリ発表まで、OpenAIへの機密情報入力は控える ことを推奨
  • データ分離機能の活用個人情報の削除セキュリティページの監視 を推奨
  • OpenAIセキュリティチームとの連携・パッチ検証協力の意思表明
  • 「AIモデルの成熟度≠セキュリティ成熟度」 という教訓と、 透明性の重要性 を強調

経緯の時系列まとめ

  • 5月29日 :異常を発見し、即日暗号化メールで報告。自動返信のみ
  • 6月10日 :フォローアップメール送信。依然として有人対応なし
  • 7月15日 :Hacker Newsで注意喚起を公開
  • 7月16日 :OpenAIから技術的説明と修正済みの連絡を受領

github/proton/gmail/X/whatever: requilence PGP Key: 6F2F DC1B 8626 B240 72DB 69D6 F07A 7D55 A268 4852 keybase.io/requilence

Hackerたちの意見

OpenAIに、他のユーザーのチャットレスポンスが見えるバグを報告したんだけど、5月29日に自動返信が来てからは音沙汰なし。問題はまだ修正されてない :( バグバウンティは、修正後でも開示を禁止する永久的なNDAがあるから避けたよ。標準の45日間の開示ウィンドウに従って、ユーザーはこれが解決するまで敏感なデータを共有しない方がいいね。

よくやったね、すごく合理的だし、ルールに従ってる感じ。

NDAの部分は本当に曖昧だね。

それって、空の文字列でAPIを呼び出すとランダムな幻覚が返ってくる「機能」じゃないの? https://jarbon.medium.com/gpt-prompt-bug-94322a96c574

永久的なNDA?うわ、それはきついね。まるで、ASIに到達するまで蓋を強引に押さえつけようとしてるみたいだね(笑)

ユーザーは常に敏感なデータの共有を避けるべきだよ。多くのAI製品は、会社の誰でも見れるプレーンテキストのログがそのままあるからね。

ジェミニのダッシュボードで他のユーザーの会話が見えるんだけど、誰に文句言えばいいのか分からない。最近のソフトウェアの質は…最小限だね。

https://archive.is/mYehH

一つの設定ミスで、数千の敏感な会話が数秒で漏れる可能性がある。プライバシーを後回しにするのは、この影響範囲が大きすぎて無理だよ。大きなセキュリティバグ、よく見つけたね。まるでバンク・オブ・アメリカが他の人に私の取引を見せるようなもので、Metaが私のWhatsAppメッセージを漏らすみたいだ。これはセキュリティについて深刻な疑問を投げかけるね。

どのメールボックスに送ったのか気になるな。メールボックスを探すのって、意外と難しいんだよね、Googleで調べても。

彼らのドメインにはsecurity.txtファイルがあって、他の場所でも言及されてたよ。

企業のバグバウンティプラットフォームの厳しい条件を拒否するハッカーが増えてきてるのはいいね。俺だったら、勝つチャンスのために無期限のNDAにはサインしないよ。平均報酬は836.36ドルだし。OpenAIは感謝すべきだよ、だって彼らは情報を無料にしたいんだから。

Hacker Newsで議論の続きを見る