Ein Team von Sicherheitsforschern von Radware hat gezeigt, wie ChatGPT als vermeintlicher Helfer genutzt werden kann, um sensible Daten aus Gmail-Inboxen zu stehlen – ohne dass der Nutzer etwas bemerkt. Die Attacke, die als „Shadow Leak“ bezeichnet wurde, nutzte eine Schwachstelle in OpenAI’s Deep Research, einem AI-Tool, das innerhalb von ChatGPT integriert ist und Nutzern erlaubt, automatisch Informationen aus E-Mails, Dokumenten und anderen Quellen zu sammeln. Das Ziel war, durch eine sogenannte Prompt-Injektion den Agenten dazu zu bringen, gegen den Willen des Nutzers sensible Daten zu extrahieren und an Angreifer zu übermitteln. Die Forscher schickten eine E-Mail an ein Gmail-Konto, das Deep Research zugänglich war. In dieser E-Mail waren versteckte Anweisungen eingebettet – sogenannte Prompt-Injektionen –, die für den Menschen unsichtbar waren (z. B. weißer Text auf weißem Hintergrund). Sobald der Nutzer Deep Research aktiviert, um beispielsweise einen Bericht zu recherchieren, wurde der Agent diese Anweisungen ausführen. Er suchte dann nach HR-Informationen, persönlichen Daten oder anderen sensiblen Inhalten und versuchte, sie über eine unsichtbare Verbindung an die Angreifer zu senden. Da die gesamte Aktion auf OpenAI’s Cloud-Infrastruktur stattfand, blieb die Datenexfiltration für herkömmliche Sicherheitslösungen unerkannt. Der Erfolg dieser Attacke war nicht einfach zu erzielen. Die Forscher berichteten von zahlreichen Fehlversuchen, technischen Hindernissen und einem langwierigen Prozess, bis die exakte Kombination aus Anweisungen und Umgebung funktionierte. Besonders kritisch: Die Attacke lief nicht lokal, sondern direkt im Cloud-System von OpenAI, was die Erkennung durch klassische Sicherheitsmaßnahmen praktisch unmöglich machte. Radware betont, dass Shadow Leak ein Proof-of-Concept ist – ein Beweis dafür, dass solche Angriffe möglich sind. Gleichzeitig warnt das Unternehmen, dass auch andere Anbindungen von Deep Research, wie Outlook, GitHub, Google Drive und Dropbox, potenziell anfällig für ähnliche Angriffe sind. Angreifer könnten so vertrauliche Geschäftsdaten wie Verträge, Meeting-Protokolle oder Kundendaten stehlen. OpenAI hat die Schwachstelle bereits im Juni behoben, wie die Forscher bestätigen. Dennoch bleibt die Erkenntnis: Agente, die autonom handeln dürfen, bringen neue Risiken mit sich. Selbst wenn Nutzer nur auf vertrauenswürdige Tools wie ChatGPT vertrauen, können versteckte Anweisungen im Hintergrund schädliche Aktionen auslösen. Die Vorfälle zeigen, dass die Sicherheit von agentenbasierten KI-Systemen nicht nur auf der technischen Seite, sondern auch in der Kontrolle über die Eingabedaten und deren Interpretation liegt. Industrieexperten sehen in Shadow Leak ein Warnsignal für die Zukunft der KI-Sicherheit. „Wir sind in einer neuen Ära, in der die KI nicht nur ein Werkzeug ist, sondern potenziell ein Mitwisser oder sogar ein Mittäter“, sagt ein Sicherheitsexperte. Die Herausforderung liegt nun darin, Agenten so zu gestalten, dass sie nicht nur nützlich sind, sondern auch sicher – selbst wenn sie mit manipulierten Eingaben konfrontiert werden. Unternehmen, die KI-Tools in ihre Arbeitsabläufe integrieren, sollten daher verstärkt auf Sicherheitsprüfungen, Eingabekontrollen und Monitoring setzen.