Sicherheitsanfälligkeit in ChatGPTs Deep Research Modus und die Risiken von Prompt-Injection-Angriffen

Sicherheitslücke in ChatGPTs „Deep Research“-Modus: Datendiebstahl über versteckte HTML-Befehle

Sicherheitsforscher des Unternehmens Radware haben eine schwerwiegende Sicherheitslücke in ChatGPTs „Deep Research“-Modus aufgedeckt. Diese Lücke, die unter dem Namen „ShadowLeak“ bekannt wurde, ermöglicht es Angreifern, unbemerkt sensible Daten wie Namen und Adressen aus Gmail-Konten zu stehlen. Der Angriff verläuft vollständig innerhalb der Cloud-Infrastruktur von OpenAI und umgeht somit herkömmliche Sicherheitsmaßnahmen wie Firewalls oder Endpoint-Security. Der ChatGPT-Agent agiert in diesem Szenario quasi als manipulierter „Insider“.

Funktionsweise des Angriffs

Der „Deep Research“-Modus, seit Februar 2025 verfügbar, dient der automatisierten Inhaltsanalyse von E-Mails, Webseiten und Dokumenten. Der Agent kann dabei auf diverse Dienste zugreifen, darunter Gmail, Google Drive, Outlook und Teams. Die Angriffsmethode basiert auf raffiniert gestalteten E-Mails. Der Betreff könnte harmlos erscheinen, beispielsweise „Umstrukturierung – Handlungspunkte“. Im E-Mail-Inhalt sind jedoch versteckte HTML-Befehle integriert – etwa weißer Text auf weißem Hintergrund oder winzige Schriftgrößen. Diese Befehle instruieren den Agenten, persönliche Daten aus einer anderen E-Mail zu extrahieren und an eine externe URL zu senden, die in Base64 kodiert ist. Diese URL erscheint legitim, wird aber von den Angreifern kontrolliert.

Um die integrierten Sicherheitsvorkehrungen des Agenten zu umgehen, setzen die Angreifer Social-Engineering-Techniken ein. Sie überzeugen den Agenten von der Berechtigung zur Durchführung der Aufgabe, tarnen die Ziel-URL durch das Anzeigen von statischem HTML und erzeugen einen Zeitdruck, indem sie behaupten, der Bericht sei ohne diesen Schritt unvollständig. Sollte der erste Versuch fehlschlagen, erhält der Agent Anweisungen zum erneuten Versuch, inklusive detaillierter Schritte zur Base64-Kodierung der Daten vor der Übertragung.

Initiiert ein Benutzer eine „Deep Research“-Abfrage, beispielsweise „Analysiere meine HR-E-Mails von heute“, verarbeitet der Agent unwissentlich die manipulierte E-Mail und führt die versteckten Anweisungen aus. Die sensiblen Daten werden unbemerkt an den Server des Angreifers übertragen. Der gesamte Prozess bleibt im Hintergrund verborgen, ohne Warnungen oder Hinweise auf einen Angriff.

Die Schwachstelle: Agenten-basierte Systeme und Prompt Injection

Die Kern-Schwachstelle liegt nicht im Sprachmodell selbst, sondern in der Fähigkeit des Agenten, Tools auszuführen. Eine interne Funktion namens „browser.open()“ ermöglicht dem Agenten HTTP-Anfragen. Durch das Einbetten spezieller Anweisungen im HTML der E-Mail können Angreifer den Agenten dazu bringen, private Informationen zu kodieren und an eine externe Adresse zu übertragen. Diese Methode ist laut Radware nicht auf E-Mails beschränkt. Jede Plattform, auf der der Agent strukturierten Text verarbeitet – wie Google Drive, Outlook, Teams, Notion oder GitHub – könnte gefährdet sein. Versteckte Aufforderungen könnten ebenso leicht in Meeting-Einladungen, gemeinsam genutzte PDF-Dateien oder Chat-Protokolle eingebunden werden und Routine-KI-Aufgaben in potenzielle Sicherheitsverletzungen verwandeln.

Reaktion von OpenAI und anhaltende Herausforderungen

Radware meldete die Sicherheitslücke am 18. Juni 2025 über Bugcrowd. OpenAI behob die Schwachstelle Anfang August, obwohl die Forscher angeben, keine direkte Kommunikation erhalten zu haben. Erst am 3. September bestätigte OpenAI die Behebung öffentlich. Die Entdeckung von „ShadowLeak“ unterstreicht jedoch die anhaltende Herausforderung im Umgang mit agentenbasierten KI-Systemen. Zahlreiche Studien zeigen die Anfälligkeit solcher Systeme für Prompt-Injection-Angriffe, bei denen Angreifer versteckte Anweisungen in Text einbetten, die dem Benutzer nicht auffallen. Diese Schwachstelle ist seit Jahren bekannt, eine zuverlässige Lösung bleibt jedoch aus.

Empfehlungen für Unternehmen

Die aktuelle Situation verdeutlicht die Notwendigkeit, den Einsatz von KI-Agenten für sensible Aufgaben kritisch zu bewerten. Unternehmen sollten strenge Sicherheitsrichtlinien implementieren und ihre Mitarbeiter über die Risiken von Prompt-Injection-Angriffen schulen. Bis umfassende Lösungen verfügbar sind, ist Vorsicht geboten. Der Rat von OpenAI-CEO Sam Altman, ChatGPT-Agenten nicht für hochsensible Aufgaben zu verwenden, sollte ernst genommen werden.

Bibliography - Radware Blog: ShadowLeak - The Decoder: ChatGPT's Deep Research mode let attackers steal Gmail data with hidden instructions in emails - LinkedIn: OpenAI ChatGPT security flaw fixed - Infosecurity Magazine: Vulnerability in ChatGPT agent Gmail - Times of India: Researcher on ChatGPT fixing security flaw - PCMag UK: This ChatGPT flaw could let a hacker steal info from your emails - The Hacker News: ShadowLeak zero-click flaw leaks Gmail - OECD.AI Incident Report: 2025-09-18-AC13 - The Register: OpenAI shadowleak bug - The Verge: ChatGPT Gmail shadow leak