OpenAI schließt kritische Lücke in ChatGPT

Eine unsichtbare Lücke erlaubte es Angreifern, über präparierte Mails private Gmail-Daten abzugreifen – komplett ohne dein Wissen.

gpt-image-1 | All-AI.de

Sicherheitsforscher haben eine kritische Schwachstelle in einer Spezialfunktion von ChatGPT aufgedeckt. Der „ShadowLeak“ genannte Angriff ermöglichte es, sensible Daten aus Gmail-Konten abzugreifen, ohne dass Nutzer etwas davon mitbekamen. Die Attacke lief komplett unsichtbar auf den Servern von OpenAI ab und umging so klassische Sicherheitssoftware. OpenAI hat die Lücke inzwischen geschlossen, nachdem die Forscher sie verantwortungsvoll gemeldet hatten. Bislang gibt es keine Hinweise auf eine aktive Ausnutzung.

Unsichtbare Befehle im Posteingang

Der Angriff funktionierte über eine präparierte E-Mail, die versteckte Anweisungen für den KI-Agenten enthielt. Diese Befehle waren für das menschliche Auge unsichtbar, etwa durch weiße Schrift auf weißem Grund oder extrem kleine Schriftgrößen. Analysierte der Nutzer dann mit dem „Deep Research“-Modus von ChatGPT seine E-Mails, las der Agent auch diese versteckten Instruktionen aus und führte sie aus. So konnten Angreifer den Agenten anweisen, private Informationen wie Namen oder Adressen zu extrahieren und an einen externen Server zu senden.

Das Tückische daran war die Architektur des Angriffs. Da der Datenabfluss direkt auf der Infrastruktur von OpenAI stattfand und nicht auf dem Gerät des Nutzers, griffen herkömmliche Schutzmaßnahmen wie Firewalls oder Browser-Sicherheitseinstellungen ins Leere. Der gesamte Prozess lief im Hintergrund ab, ohne dass eine verdächtige Aktivität für den Nutzer oder dessen IT-Sicherheit sichtbar wurde.

Mehr als nur ein Gmail-Problem

Die Sicherheitsforscher von Radware, die die Lücke entdeckten, betonen, dass das Problem nicht das Sprachmodell selbst war, sondern die Werkzeuge, auf die der KI-Agent zugreifen kann. Die intern genutzte Funktion zum Öffnen von Webseiten wurde hier missbraucht, um Daten zu exfiltrieren. Dieser Mechanismus stellt eine grundsätzliche neue Angriffsfläche dar. Jede Plattform, die strukturierte Daten an einen KI-Agenten liefert, könnte potenziell betroffen sein – von Google Drive über Microsoft Teams bis hin zu Notion.

OpenAI wurde bereits am 18. Juni über die Schwachstelle informiert und hat sie im August behoben. Offiziell wurde der Fall am 3. September als geschlossen markiert. Der Vorfall unterstreicht jedoch eine neue Herausforderung: Während KI-Agenten immer autonomer und nützlicher werden, können sie gleichzeitig zu unsichtbaren Akteuren im eigenen System werden, deren Aktivitäten schwer zu überwachen sind.

Hat Dir der Beitrag gefallen oder geholfen? Dann hilf uns mit einem Klick weiter - dauert nur Sekunden.

Teile diesen Beitrag

Folge uns auf Social Media

Unterstütze uns direkt

KI-Tools sind teuer – unser Wissen bleibt kostenlos. Spende einmalig via PayPal oder werde YouTube-Mitglied (ab 0,99 €). Dafür liefern wir täglich News, ehrliche Tests und praxisnahe Anleitungen. Danke dir!