Schwerwiegende Sicherheitslücke bei ChatGPT und einer Reihe von KI-Assistenten: Benutzer werden betrogen, Informationen gelangen an die Öffentlichkeit …

Das israelische Cybersicherheitsunternehmen Zenity hat die erste „Zero Click“-Sicherheitslücke im ChatGPT-Dienst von OpenAI aufgedeckt.

Bei dieser Art von Angriff müssen die Benutzer keine Aktionen ausführen, wie etwa auf einen Link klicken, eine Datei öffnen oder eine andere absichtliche Interaktion durchführen. Dennoch kann es zu Zugriff auf Konten und zum Durchsickern vertraulicher Daten kommen.

Mikhail Bergori, Mitbegründer und Chief Technology Officer von Zenity, demonstrierte aus erster Hand, wie ein Hacker mit nur der E-Mail-Adresse eines Benutzers die vollständige Kontrolle über Konversationen übernehmen kann – einschließlich vergangener und zukünftiger Inhalte, den Zweck der Konversation ändern und sogar ChatGPT so manipulieren kann, dass es nach den Wünschen des Hackers handelt.

In ihrer Präsentation zeigten die Forscher, dass ein kompromittierter ChatGPT zu einem „böswilligen Akteur“ werden kann, der verdeckt gegen Nutzer vorgeht. Hacker könnten ChatGPT dazu bringen, Nutzern den Download virenbeladener Software vorzuschlagen, irreführende Geschäftstipps zu geben oder auf Dateien zuzugreifen, die auf Google Drive gespeichert sind, wenn das Konto des Nutzers verbunden ist. All dies geschieht ohne das Wissen des Nutzers.

Die Sicherheitslücke wurde erst vollständig behoben, nachdem Zenity OpenAI benachrichtigt hatte.

Neben ChatGPT hat Zenity auch ähnliche Angriffe auf andere beliebte KI-Assistenzplattformen demonstriert. Im Copilot Studio von Microsoft haben Forscher herausgefunden, wie ganze CRM-Datenbanken geleakt werden können.

Bei Salesforce Einstein können Hacker gefälschte Serviceanfragen erstellen, um die gesamte Kundenkommunikation an die von ihnen kontrollierten E-Mail-Adressen umzuleiten.

Auch Google Gemini und Microsoft 365 Copilot wurden zu „feindlichen Akteuren“, die Phishing-Angriffe durchführten und vertrauliche Informationen über E-Mails und Kalenderereignisse weitergaben.

In einem anderen Beispiel wurde das Softwareentwicklungstool Cursor, wenn es in Jira MCP integriert war, auch dazu ausgenutzt, Entwickleranmeldeinformationen über gefälschte „Tickets“ zu stehlen.

Zenity sagte, dass einige Unternehmen wie OpenAI und Microsoft nach der Warnung schnell Patches veröffentlicht hätten. Andere lehnten es jedoch ab, das Problem zu beheben, mit der Begründung, dass es sich bei dem Verhalten eher um ein „Designmerkmal“ als um eine Sicherheitslücke handele.

Die große Herausforderung bestehe laut Mikhail Bergori darin, dass KI-Assistenten nicht nur einfache Aufgaben erledigen, sondern zu „digitalen Einheiten“ werden, die Nutzer repräsentieren – und Ordner öffnen, Dateien versenden und E-Mails abrufen können. Er warnte, dass dies ein „Paradies“ für Hacker sei, da es so viele Angriffspunkte gebe.

Ben Kaliger, Mitbegründer und CEO von Zenity, sagte, die Untersuchungen des Unternehmens zeigten, dass die aktuellen Sicherheitsmethoden für die Arbeitsweise von KI-Assistenten nicht mehr geeignet seien. Er forderte Unternehmen auf, ihren Ansatz zu ändern und in spezialisierte Lösungen zu investieren, um die Aktivitäten dieser „Agenten“ zu kontrollieren und zu überwachen.