ChatGPT-Lücke ermöglichte unsichtbaren Datenabfluss : Neue Angriffswege über KI-Umgebungen und Entwickler-Tools entdeckt
Eine neu entdeckte Schwachstelle in ChatGPT und eine kritische Lücke in Codex zeigen: KI-Systeme eröffnen neue, bislang unterschätzte Angriffsflächen. Sicherheitsanalysten warnen vor unsichtbaren Datenabflüssen und kompromittierten Entwicklerzugängen.
Eine bislang unbekannte Sicherheitslücke in ChatGPT hat gezeigt, wie anfällig moderne KI-Systeme für verdeckte Angriffe sein können. Nach Erkenntnissen von Check Point konnten sensible Konversationsdaten ohne Wissen der Nutzer exfiltriert werden.
„Eine einzige böswillige Eingabeaufforderung könnte eine ansonsten gewöhnliche Unterhaltung in einen verdeckten Exfiltrationskanal verwandeln“, erklären die Experten. Noch gravierender: Betroffen waren nicht nur Chatverläufe, sondern auch hochgeladene Dateien und andere sensible Inhalte.
Verdeckter Datenabfluss über DNS-Seitenkanal
Obwohl ChatGPT eigentlich so abgesichert ist, dass keine Daten unbemerkt nach außen gelangen und keine direkten Netzwerkverbindungen aufgebaut werden können, hebelt diese Schwachstelle genau diese Schutzmechanismen aus. Der Trick liegt in einem sogenannten Seitenkanal innerhalb der Linux-Laufzeitumgebung, in der die KI Code ausführt und Daten verarbeitet.
Anstatt Daten auf direktem Weg zu senden, nutzt der Angriff einen Umweg: einen versteckten DNS-Kommunikationskanal. DNS-Anfragen sind eigentlich dafür gedacht, Internetadressen aufzulösen – hier werden sie jedoch zweckentfremdet. Informationen werden in diese Anfragen „verpackt“ und nach außen übertragen, ohne dass dies als verdächtiger Datenverkehr erkannt wird.
Das macht den Angriff besonders schwer zu entdecken. Für das System wirkt alles wie normale Hintergrundkommunikation, obwohl tatsächlich Daten abfließen.
Ein realistisches Angriffsszenario: Nutzer werden durch scheinbar harmlose Eingaben dazu verleitet, schädliche Befehle auszuführen – etwa unter dem Vorwand, Funktionen freizuschalten oder die Leistung zu verbessern. Noch gefährlicher wird dies in benutzerdefinierten GPTs, in denen sich solche Mechanismen dauerhaft verankern lassen.
ChatGPT keine „geschlossene Umgebung“
Warum das funktioniert, erklären die Forscher so: „Entscheidend ist, dass das Modell unter der Annahme arbeitete, dass diese Umgebung keine Daten direkt nach außen senden könne, und dieses Verhalten daher nicht als externen Datentransfer erkannte.“ Die Folge: „Die Datenleckage löste keine Warnungen aus, erforderte keine Bestätigung durch den Benutzer und blieb weitgehend unsichtbar.“
Mit der zunehmenden Nutzung von ChatGPT in Unternehmen wächst damit auch das Risiko. Hochsensible Informationen werden verarbeitet, ohne dass Schutzmechanismen greifen.
Auch Kommandos im missbrauchten Kanal möglich
Noch kritischer: Über denselben Mechanismus kann ein Angreifer nicht nur Daten ausleiten, sondern unter Umständen auch Befehle einschleusen und ausführen. Damit wird aus einem versteckten Datenkanal im Extremfall ein direkter Zugriff auf die Ausführungsumgebung der KI.
OpenAI hat die Schwachstelle nach verantwortungsvoller Meldung am 20. Februar 2026 behoben. Hinweise auf eine aktive Ausnutzung gibt es bislang nicht.
Als weiteres hohes Risiko stufen Security-Analysten neue Angriffstechniken wie sogenanntes „Prompt Poaching“ ein. Dabei greifen manipulierte Browser-Erweiterungen KI-Konversationen heimlich ab.
„Diese Plugins öffnen die Tür zu Identitätsdiebstahl, gezielten Phishing-Kampagnen und dem Verkauf sensibler Daten“, warnt ein Forscher. Besonders in Unternehmen können so geistiges Eigentum und vertrauliche Informationen unbemerkt abfließen.
Kritische Codex-Lücke gefährdet Entwicklerzugänge
Parallel zur ChatGPT-Schwachstelle wurde eine weitere kritische Lücke in OpenAI-Software entdeckt. Sie betrifft Codex und hat somit direkte Auswirkungen auf Entwicklerumgebungen. Angreifer konnten über eine sogenannte Befehlsinjektion GitHub-Zugangsdaten stehlen und damit potenziell mehrere Nutzer kompromittieren, die an gemeinsamen Projekten arbeiten.
Im Kern liegt das Problem in der Verarbeitung von Eingaben. „Die Schwachstelle besteht in der HTTP-Anfrage zur Aufgabenerstellung, die es einem Angreifer ermöglicht, beliebige Befehle über den GitHub-Zweignamen-Parameter einzuschleusen“, erklärt Sicherheitsforscher Tyler Jespersen. Besonders brisant: „Dies kann zum Diebstahl des GitHub-Benutzerzugriffstokens eines Opfers führen – desselben Tokens, das Codex zur Authentifizierung bei GitHub verwendet.“
Einfache Ursache mit schwerwiegenden Folgen
Ursache ist eine unzureichende Prüfung von Eingaben in der Cloud. Dadurch konnten manipulierte Branch-Namen genutzt werden, um Schadcode in der Codex-Umgebung auszuführen und sensible Tokens abzugreifen.
Die Folgen sind weitreichend: „Dies ermöglichte laterale Bewegung und Lese- und Schreibzugriff auf die gesamte Codebasis eines Opfers“, so Sicherheitsexperte Kinnaird McQuade.
Ein mögliches Angriffsszenario zeigt, wie einfach der Missbrauch ist: Nach dem Anlegen eines manipulierten Branches genügt ein Verweis auf Codex in einem Pull Request. „Codex startete daraufhin einen Code-Review-Container, führte unsere Payload aus und leitete die Antwort an unseren externen Server weiter.“
Die Schwachstelle wurde am 5. Februar 2026 geschlossen, nachdem sie im Dezember 2025 gemeldet worden war. Betroffen waren mehrere Komponenten, darunter Weboberfläche, Kommandozeilenwerkzeuge und Entwicklungsumgebungen.
KI wird zur neuen Angriffsoberfläche
Die Vorfälle verdeutlichen einen grundlegenden Wandel: KI-Plattformen entwickeln sich zunehmend zu komplexen Rechenumgebungen mit tiefem Zugriff auf sensible Daten und Systeme.
„Diese Untersuchung bekräftigt eine harte Wahrheit für das KI-Zeitalter: Gehen Sie nicht davon aus, dass KI-Tools standardmäßig sicher sind“, warnt Eli Smadja von Check Point Research. Native Sicherheitsfunktionen allein reichen nicht mehr aus. Gefordert sind zusätzliche Kontrollinstanzen, Transparenz und ein mehrschichtiger Schutzansatz.
Unternehmen stehen damit vor einer neuen Herausforderung. Neben klassischen Sicherheitsmaßnahmen braucht es zusätzliche Schutzebenen, um Prompt-Injektionen, Datenabfluss und missbrauchte KI-Agenten zu kontrollieren. Besonders wichtig ist etwa auch, Container-Sicherheit und Eingabevalidierung genauso streng zu behandeln wie klassische Anwendungsgrenzen.
Die zentrale Erkenntnis: Mit der wachsenden Integration von KI in Geschäftsprozesse steigt nicht nur der Nutzen – sondern auch die Angriffsfläche. Sicherheitsarchitekturen müssen diesen Wandel aktiv berücksichtigen, bevor Angreifer ihn ausnutzen.