Schwerwiegende Sicherheitslücke bei ChatGPT und einer Reihe von KI-Assistenten: Benutzer werden betrogen, Informationen gelangen an die Öffentlichkeit …

Das israelische Cybersicherheitsunternehmen Zenity hat gerade die erste „Zero Click“-Sicherheitslücke im ChatGPT-Dienst von OpenAI aufgedeckt.

Bei dieser Art von Angriff müssen Benutzer keine Aktionen ausführen, wie etwa auf einen Link klicken, eine Datei öffnen oder eine andere absichtliche Interaktion durchführen. Dennoch kann es zu Zugriff auf Konten und zum Durchsickern vertraulicher Daten kommen.

Mikhail Bergori, Mitbegründer und CTO von Zenity, demonstrierte aus erster Hand, wie ein Hacker mit nur der E-Mail-Adresse eines Benutzers die vollständige Kontrolle über Konversationen übernehmen kann – einschließlich vergangener und zukünftiger Inhalte, den Zweck der Konversation ändern und sogar ChatGPT manipulieren kann, um zugunsten des Hackers zu handeln.

In ihrer Präsentation zeigten die Forscher, dass ein kompromittierter ChatGPT zu einem „böswilligen Akteur“ werden kann, der verdeckt gegen Nutzer vorgeht. Hacker könnten ChatGPT so gestalten, dass es Nutzern den Download von vireninfizierter Software vorschlägt, irreführende Geschäftstipps gibt oder auf Dateien auf Google Drive zugreift, wenn das Konto des Nutzers verbunden ist. All dies geschieht ohne das Wissen des Nutzers.

Die Sicherheitslücke wurde erst vollständig behoben, nachdem Zenity OpenAI benachrichtigt hatte.

Neben ChatGPT hat Zenity auch ähnliche Angriffe auf andere beliebte KI-Assistenzplattformen demonstriert. In Microsofts Copilot Studio entdeckten Forscher eine Möglichkeit, ganze CRM-Datenbanken zu leaken.

Bei Salesforce Einstein können Hacker gefälschte Serviceanfragen erstellen, um die gesamte Kundenkommunikation an E-Mail-Adressen umzuleiten, die sie kontrollieren.

Auch Google Gemini und Microsoft 365 Copilot wurden zu „feindlichen Akteuren“, die Phishing-Angriffe durchführten und vertrauliche Informationen über E-Mails und Kalenderereignisse weitergaben.

In einem anderen Beispiel wurde das Softwareentwicklungstool Cursor in Verbindung mit Jira MCP auch dazu ausgenutzt, Entwickleranmeldeinformationen über gefälschte „Tickets“ zu stehlen.

Zenity sagte, dass einige Unternehmen wie OpenAI und Microsoft nach der Warnung schnell Patches veröffentlicht hätten. Andere weigerten sich jedoch, das Problem zu beheben, mit der Begründung, dass es sich bei dem Verhalten eher um ein „Designmerkmal“ als um eine Sicherheitslücke handele.

Die große Herausforderung besteht laut Mikhail Bergori darin, dass KI-Assistenten nicht nur einfache Aufgaben ausführen, sondern zu „digitalen Einheiten“ werden, die Benutzer repräsentieren – und Ordner öffnen, Dateien senden und auf E-Mails zugreifen können. Er warnte, dass dies ein „Paradies“ für Hacker sei, da es so viele Angriffspunkte gebe.

Ben Kaliger, Mitgründer und CEO von Zenity, betonte, die Untersuchungen des Unternehmens zeigten, dass die aktuellen Sicherheitsmethoden für die Arbeitsweise von KI-Assistenten nicht mehr geeignet seien. Er forderte Unternehmen auf, ihre Herangehensweise zu ändern und in spezialisierte Lösungen zu investieren, um die Aktivitäten dieser „Agenten“ kontrollieren und überwachen zu können.