Ein gravierender Vorfall rückt die Sicherheit von KI-Agenten erneut ins Rampenlicht. Doch wie gelang es Angreifern, E-Mail-Daten direkt aus Gmail-Konten zu entwenden?
Forscher des Sicherheitsunternehmens Radware haben eine Schwachstelle im „Deep Research“-Modus von ChatGPT offengelegt. Die Lücke, die den Namen ShadowLeak trägt, erlaubte es Angreifern, vertrauliche Informationen wie Namen und Adressen unbemerkt abzufangen. Besonders heikel: Der Angriff lief vollständig serverseitig über OpenAIs eigene Infrastruktur – lokale Schutzmechanismen wie Firewalls konnten nichts ausrichten.
Der Deep-Research-Modus, seit Februar 2025 breiter verfügbar, verknüpft ChatGPT mit Diensten wie Gmail, Google Drive oder Outlook, um automatisiert Berichte und Analysen zu erstellen. Genau hier setzten die Angreifer an: Präparierte E-Mails enthielten unsichtbare HTML-Befehle, die den Agenten dazu brachten, Daten zu extrahieren und kodiert an externe Server zu senden – ohne Wissen des Nutzers.
Radware meldete die Lücke am 18. Juni, behoben wurde sie im August, allerdings ohne transparente Rückmeldung an die Forscher. Erst im September bestätigte OpenAI offiziell, dass die Schwachstelle geschlossen ist.
Warum KI-Agenten ein Risikofaktor bleiben
ShadowLeak ist kein Einzelfall: Mehrere Studien zeigen, dass KI-Agenten besonders anfällig für sogenannte Prompt Injections sind – versteckte Anweisungen, die das System täuschen. In groß angelegten Red-Teaming-Tests wurden sämtliche untersuchten Agenten mindestens einmal erfolgreich kompromittiert, teils mit gravierenden Folgen wie unbefugtem Datenzugriff.
Besonders Agenten mit Internetzugang gelten als verwundbar. Angriffe lassen sich oft schon mit geschickt formulierten Texten ausführen – technisches Fachwissen ist dafür nicht zwingend erforderlich. Selbst OpenAI-Chef Sam Altman mahnt daher zur Vorsicht, wenn KI-Agenten Aufgaben mit sensiblen Daten übernehmen.