Ein neu entdeckter Zero-Click-Angriff ermöglichte es Angreifern, vertrauliche Daten von ChatGPT-Nutzern zu stehlen, indem sie lediglich ein manipuliertes Dokument teilten. Ohne jegliche Nutzerinteraktion konnte das KI-Modell dazu gebracht werden, sensible Informationen wie API-Schlüssel automatisch an externe Server zu senden. Dieser Vorfall unterstreicht die wachsenden Sicherheitsrisiken durch die zunehmende Integration von KI in Arbeitsabläufe.
Ein gefährlicher Zero-Click-Angriff auf ChatGPT
Sicherheitsforscher haben eine gravierende Schwachstelle in ChatGPT aufgedeckt, die als „Zero-Click-Angriff“ bezeichnet wird. Dabei reicht ein einziges präpariertes Dokument aus, um vertrauliche Daten eines Nutzers zu exfiltrieren, ohne dass dieser aktiv werden muss. Michael Bargury, CTO von Zenity, beschreibt die Ernsthaftigkeit des Angriffs: „Der Nutzer muss nichts tun, um kompromittiert zu werden, und nichts tun, damit die Daten abfließen.“
Wie der Angriff funktioniert
Der Angriff nutzt die „Connectors“-Funktion von OpenAI, die es ChatGPT ermöglicht, mit Diensten wie Google Drive, Gmail oder Microsoft 365 zu interagieren. In einem Proof-of-Concept-Video demonstrierten die Forscher, wie ein manipuliertes Google-Dokument mit einem unsichtbaren Prompt (weißer Text in Schriftgröße 1) ChatGPT dazu veranlasste, auf gespeicherte Daten im Google Drive des Opfers zuzugreifen. Eine scheinbar harmlose Anfrage wie „Fasse mein letztes Meeting mit Sam zusammen“ löste den versteckten Prompt aus. Dieser wies das Modell an, nach API-Schlüsseln zu suchen und diese über eine URL an einen externen Server zu senden.
Schlüsselerkenntnisse
- Ein manipuliertes Dokument reicht aus, um Daten abzuziehen.
- Keine Nutzerinteraktion ist für die Kompromittierung notwendig.
- Der Angriff nutzt die „Connectors“-Funktion von OpenAI.
- API-Schlüssel können über externe Server abgegriffen werden.
Reaktion und Ausblick
OpenAI wurde umgehend über die Schwachstelle informiert und hat laut den Forschern „schnell Maßnahmen ergriffen“, um den spezifischen Angriffsvektor zu schließen. Die Lücke, wie sie auf der Black-Hat-Konferenz demonstriert wurde, ist damit behoben. Die Forscher weisen jedoch darauf hin, dass die grundlegende Angriffsform technisch weiterhin möglich ist. Mit der fortschreitenden Integration von Large Language Models (LLMs) in produktive Arbeitsumgebungen wachsen auch die potenziellen Angriffsflächen, was die Notwendigkeit robuster Sicherheitsmaßnahmen unterstreicht.
KI Snack
