Sicherheitsforscher haben eine kritische Schwachstelle in ChatGPTs "Deep Research"-Modus aufgedeckt, die es Angreifern ermöglicht, sensible Daten wie Namen und Adressen aus Gmail-Konten zu stehlen. Der Angriff, bekannt als "ShadowLeak", erfolgt unbemerkt serverseitig über die OpenAI-Infrastruktur und umgeht lokale Sicherheitsmaßnahmen.
Key Takeaways
- Eine Sicherheitslücke namens "ShadowLeak" ermöglicht den unbemerkten Diebstahl sensibler Daten aus E-Mail-Konten.
- Der Angriff nutzt versteckte HTML-Anweisungen in präparierten E-Mails, um den "Deep Research"-Agenten zu manipulieren.
- Die Schwachstelle betrifft nicht das Sprachmodell selbst, sondern die Art und Weise, wie externe Tools ausgeführt werden.
- Ähnliche Angriffe sind auf zahlreiche andere Dienste übertragbar, die strukturierte Texte verarbeiten.
Der "ShadowLeak"-Angriff im Detail
Der "Deep Research"-Modus, seit Februar 2025 breiter verfügbar, erlaubt Nutzern die automatisierte Analyse von Informationen aus verschiedenen Quellen wie E-Mails und Dokumenten. Forscher von Radware entdeckten, dass Angreifer durch manipulierte E-Mails, die unsichtbare HTML-Inhalte mit spezifischen Anweisungen enthalten, den Agenten dazu bringen können, sensible Daten zu extrahieren und an externe, vom Angreifer kontrollierte URLs zu senden.
Diese Anweisungen sind so gestaltet, dass sie die Sicherheitsmechanismen des Agenten umgehen. Sie täuschen Autorität vor, versichern die Sicherheit der Ziel-URL und erzeugen künstliche Dringlichkeit, um den Agenten zur Ausführung zu bewegen. Falls der erste Versuch fehlschlägt, wird der Agent angewiesen, es mehrmals zu versuchen. Die extrahierten Daten werden dabei Base64-kodiert an die externe URL übermittelt.
Schwachstelle in der Tool-Ausführung
Die eigentliche Schwachstelle liegt laut Radware nicht im Sprachmodell von ChatGPT, sondern in der Ausführung von internen Werkzeugen wie browser.open(). Dieses Werkzeug ermöglicht es dem Agenten, HTTP-Anfragen zu senden. Durch gezielte Anweisungen im E-Mail-Inhalt konnten die Forscher den Agenten dazu bringen, sensible Informationen zu kodieren und über dieses Tool an externe Adressen zu senden, ohne dass der Nutzer davon Kenntnis erlangt.
Übertragbarkeit auf andere Dienste
Das Angriffsmuster "ShadowLeak" ist nicht auf ChatGPT beschränkt. Laut Radware kann es auf zahlreiche andere Dienste übertragen werden, die strukturierte Texte verarbeiten. Dazu gehören unter anderem Google Drive, Outlook, Teams, Notion und GitHub. Meeting-Einladungen, geteilte PDF-Dateien oder Chatverläufe könnten potenziell versteckte Instruktionen enthalten, die von KI-Agenten als legitime Arbeitsaufträge ausgeführt werden.
Behebung und breitere Bedenken
Radware meldete die Schwachstelle am 18. Juni 2025. OpenAI hat die Lücke nach eigenen Angaben Anfang August behoben und die Behebung am 3. September bestätigt. Diese Entdeckung reiht sich ein in eine wachsende Zahl von Berichten über die Unsicherheit von KI-Agenten, insbesondere durch sogenannte "Prompt Injection". Selbst OpenAI-Chef Sam Altman rät davon ab, KI-Agenten Aufgaben mit hohen Risiken oder sensiblen Daten anzuvertrauen, da oft bereits gut formulierte Texte ausreichen, um diese zu manipulieren.
KI Snack
