ChatGPT-Atlas-Exploit: Wie Angreifer die Erinnerung des KI-Browsers vergiften
Kritische Sicherheitslücke in OpenAIs Atlas-Browser – Angreifer können persistente Befehle einschleusen
Eine gravierende Schwachstelle im ChatGPT-Atlas-Browser erlaubt es, bösartige Anweisungen dauerhaft in den Speicher des KI-Assistenten zu schreiben. Damit könnten Angreifer Schadcode ausführen, Zugriffsrechte erweitern oder ganze Systeme kompromittieren – sogar über Geräte hinweg.
Was als Komfortfunktion gedacht war, wird nun zum potenziellen Einfallstor: Die im Februar 2024 eingeführte Speicherfunktion von OpenAIs ChatGPT-Atlas-Browser sollte eigentlich nützliche Details zwischen Gesprächen behalten – etwa Namen, Vorlieben oder Interessen. Doch genau diese „Erinnerung“ öffnet Angreifern neue Möglichkeiten.
Laut einem Bericht von LayerX Security kann eine neu entdeckte Schwachstelle dazu genutzt werden, persistente Schadbefehle in diesen Speicher zu injizieren. „Dieser Exploit kann Angreifern ermöglichen, Systeme mit Schadcode zu infizieren, sich selbst Zugriffsrechte zu verschaffen oder Malware zu verbreiten,“ warnt Or Eshed, Mitgründer und Geschäftsführer von LayerX Security.
Angriff über Cross-Site Request Forgery
Im Kern basiert der Angriff auf einer Cross-Site-Request-Forgery-Schwachstelle (CSRF). Diese erlaubt es, versteckte Befehle in den persistenten Speicher des ChatGPT-Atlas-Browsers einzuschleusen, während der Nutzer angemeldet ist. Das Angriffsszenario läuft in mehreren Schritten ab:
- Der Nutzer meldet sich bei ChatGPT an.
- Durch Social Engineering wird er auf eine manipulierte Webseite gelockt.
- Diese Seite löst einen CSRF-Befehl aus, der – ohne Wissen des Nutzers – Anweisungen in den Speicher des Browsers schreibt.
- Bei späteren legitimen Anfragen an ChatGPT werden diese infizierten Speicherinhalte wieder aktiviert – und Schadcode ausgeführt.
Damit kann der Angriff selbst dann wirksam bleiben, wenn der Nutzer den Browser oder sogar das Gerät wechselt. Erst das manuelle Löschen des Speichers in den Einstellungen entfernt die bösartigen Einträge.
Memory wurde erstmals im Februar 2024 von OpenAI eingeführt und soll es dem KI-Chatbot ermöglichen, sich nützliche Details zwischen den Chats zu merken, wodurch seine Antworten personalisierter und relevanter werden. Dabei kann es sich um alles Mögliche handeln, vom Namen und der Lieblingsfarbe eines Benutzers bis hin zu seinen Interessen und Ernährungsgewohnheiten.
Eine neue Dimension der Bedrohung
„Was diesen Exploit einzigartig gefährlich macht, ist, dass er den persistenten Speicher der KI angreift, nicht nur die laufende Sitzung,“ so Michelle Levy, Leiterin der Sicherheitsforschung bei LayerX. Die Forscher konnten zeigen, dass bereits normale Anfragen an ChatGPT nach einer Infektion dazu führen können, dass Code ausgeführt, Privilegien erhöht oder Daten exfiltriert werden – ohne dass Sicherheitsmechanismen anschlagen.
Fehlende Schutzmechanismen in Atlas
Laut LayerX wird das Problem durch unzureichende Anti-Phishing-Maßnahmen im Atlas-Browser verschärft. In Tests mit über einhundert realen Webangriffen schnitt Atlas besonders schlecht ab:
- Microsoft Edge stoppte 53 Prozent der Angriffe
- Google Chrome 47 Prozent
- Dia-Browser 46 Prozent
- Perplexit Comet nur 7 Prozent
- ChatGPT Atlas gerade einmal 5,8 Prozent
Das zeigt: ChatGPT-Atlas bietet derzeit kaum Schutz vor gängigen Phishing- und Exploit-Techniken. Damit ist der Browser bis zu neunzig Prozent stärker gefährdet als etablierte Browser wie Chrome oder Edge.
Manipulierte Prompts und verdeckte Kontrolle
Sicherheitsexperten verweisen zudem auf weitere Demonstrationen, etwa durch NeuralTrust. Das Unternehmen zeigte, dass auch Prompt-Injection-Angriffe möglich sind. Dabei können manipulierte Eingaben über scheinbar harmlose URLs den KI-Browser dazu bringen, unbemerkt schädliche Aktionen auszuführen.
Ein besonders brisantes Szenario betrifft Entwickler: Wenn sie ChatGPT Atlas bitten, Code zu schreiben, könnte die KI versteckte Anweisungen in den generierten Code einbetten – unbemerkt und ohne Warnung.
Wenn künstliche Intelligenz zur Lieferkette wird
„Vulnerabilities wie ‘Tainted Memories’ sind die neue Lieferkette,“ warnt Eshed. „Sie reisen mit dem Nutzer, kontaminieren zukünftige Arbeit und verwischen die Grenze zwischen hilfreicher Automatisierung und verdeckter Kontrolle.“ Die Gefahr liegt darin, dass kompromittierte Erinnerungen des KI-Browsers zu einem dauerhaften Angriffspunkt werden. Da Atlas-App, Identitätsmanagement und KI-Logik eng integriert sind, entsteht eine gemeinsame Angriffsfläche, die klassische Sicherheitsmodelle überfordert.
Fazit: Browser werden zur kritischen Infrastruktur
Der Vorfall zeigt deutlich, wie riskant die Verschmelzung von Browser, App und KI-Funktionalität geworden ist. „Da der Browser zur zentralen Schnittstelle für KI wird, müssen Unternehmen ihn als kritische Infrastruktur behandeln,“ mahnt Eshed.
Die Entwicklung von ChatGPT Atlas steht stellvertretend für einen neuen Trend: Agentische KI-Browser, die direkt mit Webinhalten und Nutzeridentitäten interagieren. Doch ohne robuste Sicherheitsarchitektur kann genau diese Integration zur Achillesferse werden.
Der Exploit gegen ChatGPT Atlas verdeutlicht: Je tiefer KI im Arbeitsalltag verankert wird, desto größer wird die Verantwortung, ihre Sicherheitsmechanismen zu verstehen und zu kontrollieren. Nur so lässt sich verhindern, dass aus hilfreicher künstlicher Intelligenz ein Werkzeug für Angreifer wird.