ShadowLeak-Exploit legte Gmail-Daten über ChatGPT-Agent offen

Ein Team von Sicherheitsforschern des Cloud-Sicherheitslösungsanbieters Radware hat einen Weg gefunden, ein beliebtes KI-Tool dazu zu bringen, private Benutzerinformationen preiszugeben. Das Team, darunter die leitenden Forscher Zvika Babo und Gabi Nakibly, entdeckte eine Schwachstelle im ChatGPT Deep Research-Agenten von OpenAI, einem Tool, das selbstständig das Internet und Benutzerdokumente durchsucht, um Berichte zu erstellen. Sie demonstrierten, wie der Agent dazu gebracht werden kann, private Daten aus dem Gmail-Konto eines Benutzers ohne dessen Wissen preiszugeben.

Die Forscher nannten die Schwachstelle ShadowLeak und beschrieben sie als „ Zero-Click “-Angriff (ein Angriff, der ausgelöst wird, ohne dass der Benutzer irgendetwas anklicken muss), versteckt in einer normal aussehenden E-Mail mit unsichtbaren Befehlen. Wenn ein Benutzer den Deep Research-Agenten anweist, seine E-Mails zu scannen, liest dieser die versteckten Anweisungen und sendet „ohne Benutzerbestätigung und ohne etwas in der Benutzeroberfläche darzustellen“ die privaten Daten des Benutzers an einen vom Angreifer kontrollierten Ort.

Im Gegensatz zu früheren 0-Klick-Sicherheitslücken wie AgentFlayer und EchoLeak , die auf den Webbrowser des Benutzers angewiesen waren, funktioniert diese neue Methode direkt von den Cloud-Servern von OpenAI aus. Die Forscher nannten dies „Service-Side-Exfiltration“, was die Erkennung mit herkömmlicher Sicherheitssoftware deutlich erschwert, da es vollständig im Hintergrund agiert. Laut Bericht ist es zudem „für den Benutzer unsichtbar“, da nichts angezeigt oder gerendert wird.

Der Angriff nutzt eine Methode namens „Indirect Prompt Injection“ , bei der schädliche Befehle in den Daten versteckt werden, die ein KI-Modell verarbeiten soll (z. B. in einer E-Mail), und ohne Wissen des Benutzers ausgeführt werden. Die schädliche E-Mail, die den Titel „Restrukturierungspaket – Aktionspunkte“ tragen könnte, gibt sich als normale Nachricht aus.

Darin befindet sich ein unsichtbarer Code, der den Agenten anweist, vertrauliche Informationen zu suchen und diese an eine gefälschte „Such-URL für öffentliche Angestellte“ zu senden. Die E-Mail verwendet Social-Engineering-Tricks wie die Behauptung einer „vollständigen Autorisierung“ und das Erzeugen eines falschen Gefühls der Dringlichkeit, um die Sicherheitsprüfungen des Agenten zu umgehen.

Das Team verbrachte eine lange Trial-and-Error-Phase damit, den Angriff zu verfeinern und fand schließlich heraus, wie man den Agenten dazu zwingen konnte, sein eigenes browser.open()-Tool zu verwenden, um den bösartigen Befehl auszuführen. Indem sie den Agenten anwiesen, die gestohlenen Informationen als „Sicherheitsmaßnahme“ in Base64 zu kodieren, gelang es ihnen, den Angriff harmlos erscheinen zu lassen und eine „100-prozentige Erfolgsquote“ zu erreichen.

Laut dem Blogbeitrag von Radware wurde das Problem im Juni 2025 verantwortungsbewusst an OpenAI gemeldet. Die Sicherheitslücke wurde Anfang August behoben und am 3. September von OpenAI offiziell als behoben bestätigt.

Obwohl ihr Proof-of-Concept Gmail verwendete, wiesen die Forscher darauf hin, dass dieselbe Technik auch bei anderen Diensten funktionieren könnte, die mit dem Deep Research-Tool verbunden sind, wie etwa Google Drive, Microsoft Teams und GitHub, um vertrauliche Geschäftsdaten zu stehlen.

Um ähnliche Probleme zu vermeiden, raten sie Unternehmen, E-Mails zu bereinigen, bevor KI-Tools sie lesen, und ständig zu überwachen, was der KI-Agent tut, um sicherzustellen, dass seine Aktionen mit der ursprünglichen Anfrage des Benutzers übereinstimmen.