Ein kürzlich von Eito Miyamura von der Universität Oxford durchgeführtes Experiment hat auf eine erhebliche Sicherheitslücke bei ChatGPT hingewiesen, die durch die Nutzung des neu eingeführten Model Context Protocol (MCP) entstehen kann. MCP, das Anfang 2024 von Anthropic vorgestellt wurde, ist ein offenes Protokoll, das es großen Sprachmodellen wie ChatGPT ermöglicht, nahtlos mit externen Anwendungen, Datenquellen und Tools wie Gmail oder Google-Diensten zu interagieren. Dies soll die Funktionalität von KI-Systemen erweitern, indem sie direkt auf persönliche Konten zugreifen und dort Aktionen ausführen können – beispielsweise Kalendereinträge verwalten oder E-Mails lesen. Doch diese Erweiterung birgt erhebliche Risiken. Miyamura zeigte auf, dass Angreifer durch sogenannte „Prompt-Injection“-Angriffe sensible Daten aus dem E-Mail-Postfach eines Opfers abrufen können – und das, ohne dass das Opfer irgendetwas tun muss. Der Angriff funktioniert folgendermaßen: Der Angreifer sendet eine manipulierte Kalender-Einladung an die Ziel-E-Mail-Adresse. Diese Einladung enthält versteckte, schädliche Anweisungen, die in Form von Text oder Code verpackt sind. Sobald ChatGPT die Einladung verarbeitet – was automatisch geschieht, wenn der Nutzer Developer Mode aktiviert hat –, wird der schädliche Prompt ausgeführt. Durch die Kombination von MCP und der automatischen Verarbeitung von Kalendereinladungen kann ChatGPT diese Anweisungen interpretieren und als Befehle ausführen, als ob sie vom Nutzer stammten. Dadurch kann der Angreifer beispielsweise auf den E-Mail-Inhalt zugreifen, Nachrichten lesen, Dateien herunterladen oder sogar Passwörter aus dem Postfach extrahieren. Die gefährlichste Komponente dieses Angriffs ist, dass der Angreifer nur die E-Mail-Adresse des Opfers benötigt – kein Passwort, kein Zugriff auf das Konto, keine Phishing-Links. Die Schwachstelle liegt in der automatischen Verarbeitung von externen Daten, die durch MCP ermöglicht wird. Dieser Angriff ist ein klassisches Beispiel für eine Prompt-Injection-Attacke, bei der ein KI-Modell durch manipulierten Eingabestrom dazu gebracht wird, unerwünschte oder schädliche Aktionen auszuführen. Die Konsequenzen könnten katastrophal sein, insbesondere in Unternehmensumgebungen, wo sensible Daten wie Finanzberichte, Geschäftsgeheimnisse oder Bankinformationen gespeichert sind. Experten warnen daher dringend davor, Developer Mode in ChatGPT zu aktivieren, wenn MCP genutzt wird, besonders wenn persönliche oder geschäftliche E-Mail-Konten mit dem KI-System verknüpft sind. Es wird empfohlen, MCP nur dann zu verwenden, wenn die Sicherheitsrisiken klar verstanden und durch geeignete Maßnahmen wie Zugriffsbeschränkungen und strenge E-Mail-Filterung minimiert werden. Die Entwickler von KI-Systemen müssen dringend sicherere Standards für die Verarbeitung externer Inhalte implementieren, um solche Angriffe künftig zu verhindern. Die Zukunft der KI-Integration hängt entscheidend davon ab, wie gut Sicherheit und Funktionalität in Einklang gebracht werden können.