Neue Forschungsergebnisse von Check Point und BeyondTrust Phantom Labs zeigen, wie Angreifer über bislang unbekannte Schwachstellen in ChatGPT und OpenAI Codex sensible Daten auslesen und Entwicklerumgebungen kompromittieren konnten. Die Fälle unterstreichen, dass KI-Plattformen ohne zusätzliche Sicherheitsmassnahmen ein erhebliches Unternehmensrisiko darstellen.
ChatGPT-Sicherheitsluecke: DNS-basierter, verdeckter Datenabfluss
Check Point entdeckte eine bislang unbekannte Schwachstelle in ChatGPT, die unbemerkte Exfiltration von Chatverläufen, Uploads und anderen vertraulichen Inhalten erlaubte. Betroffen war das Linux-Umfeld, in dem der KI-Agent Code ausführt und Daten analysiert. Obwohl ChatGPT standardmässig keine direkten ausgehenden Netzwerkverbindungen zulässt, gelang es Angreifern, diese Beschränkung zu umgehen.
Der Kern des Problems lag in einem seitlichen Kanal über das DNS-Protokoll. DNS dient eigentlich zur Auflösung von Domainnamen in IP-Adressen. In diesem Fall wurde es jedoch als versteckter Transportweg genutzt: Informationen wurden in DNS-Anfragen aus dem Linux-Container heraus kodiert, ohne dass dies von den integrierten Schutzmechanismen als Datenabfluss erkannt wurde.
Wie der versteckte DNS-Kanal in ChatGPT funktionierte
Die Angreifer betteten Teile sensibler Informationen – etwa Chat-Inhalte oder Dateiausschnitte – in speziell präparierte Domainnamen ein. Jede DNS-Anfrage an diese Domains transportierte ein Fragment der Daten nach aussen. Für das System sah dies wie reguläre, interne Infrastrukturkommunikation aus, weshalb keine Warnungen zu Datenübertragungen ausgelöst wurden und keine zusätzliche Nutzerbestätigung erforderlich war.
Nach Einschätzung von Check Point liess sich derselbe Kanal auch für einen Remote-Shell-Zugang missbrauchen. Über DNS-codierte Befehle hätten Angreifer beliebigen Code im Linux-Container ausführen können – ein Szenario, das deutlich über reinen Datenabfluss hinausgeht und einen vollwertigen Einstiegspunkt in die KI-Ausführungsumgebung darstellt.
Prompt Injection und boesartige Custom-GPTs als Einfallstor
Der praktische Angriffsweg basierte auf Prompt Injection in Kombination mit Social Engineering. Angreifer können schädliche Eingaben als „geheime Tricks zur Qualitätsverbesserung“ oder „versteckte Premium-Funktionen“ tarnen und Nutzer dazu bringen, diese Anweisungen in bestehende Chats zu kopieren. Die eigentliche Schadlogik bleibt für den Menschen oft schwer erkennbar.
Mit dem Aufkommen benutzerdefinierter und unternehmensweiter GPT-Modelle steigt das Risiko weiter. Schädliche Logik kann direkt in die Konfiguration eines Custom-GPT eingebettet werden. Nutzende müssen dann keinen verdächtigen Text mehr einfügen – es genügt, den kompromittierten Agenten zu verwenden. OpenAI schloss die DNS-Schwachstelle am 20. Februar 2026; Hinweise auf bekannte Angriffe im Feld liegen aktuell nicht vor. Forschung wie die OWASP Top 10 for Large Language Model Applications hatte zuvor bereits vor derartigen Prompt-Injection-Szenarien gewarnt.
Gefahr durch Browser-Erweiterungen: Mitlesen von KI-Dialogen
Parallel dazu beobachten Sicherheitsforscher eine wachsende Zahl potenziell schädlicher Browser-Extensions für KI-Chatbots. Solche Erweiterungen greifen auf die DOM-Struktur von Webseiten zu und können gesamte Chat-Sessions erfassen und an externe Server exfiltrieren – teils von Beginn an mit Spionageabsicht, teils nach „stillen“ Funktionsupdates.
In Unternehmenskontexten ist das Risiko besonders hoch. Mitarbeitende fügen häufig Quellcode, Vertragsentwürfe oder interne Strategiepapiere in ChatGPT ein. Gelangt ein solches Plug-in in den Browser, kann es all diese Inhalte mitlesen. Branchenreports wie der Verizon Data Breach Investigations Report weisen seit Jahren darauf hin, dass Browser-Add-ons und Drittanbieter-Komponenten ein wiederkehrender Angriffsvektor in modernen Umgebungen sind.
Command Injection in OpenAI Codex: Angriff ueber GitHub-Branches
Eine zweite kritische Schwachstelle fand BeyondTrust Phantom Labs in OpenAI Codex, einem Cloud-Agenten für Softwareentwickler. Ursache war eine unzureichende Validierung von Benutzereingaben bei der Verarbeitung von GitHub-Branch-Namen. Angreifer konnten im HTTP-Request zur Job-Erstellung Shell-Befehle in das Feld für den Branch-Namen einschleusen.
Der Container, in dem Codex die Anfragen bearbeitet, führte diese Befehle aus – ein klassischer Fall von Command Injection. So liess sich der GitHub User Access Token stehlen, den Codex für die Authentifizierung nutzt. Mit diesem Token erhalten Angreifer weitreichende Rechte: Lesen und Manipulieren kompletter Repositories, Einbringen von Backdoors in Codebasis und laterale Bewegungen in zusammenhängende Projekte.
Laut BeyondTrust war darüber hinaus die Kompromittierung des GitHub Installation Access Token möglich. In Kombination mit automatisierten Abläufen – etwa beim Erwähnen von @codex in Pull-Request-Kommentaren – hätten Angreifer wiederholt Bash-Kommandos ausführen können. OpenAI schloss die Lücke am 5. Februar 2026, nachdem sie am 16. Dezember 2025 gemeldet worden war. Betroffen waren sowohl die ChatGPT-Oberfläche als auch Codex-CLI, SDK und IDE-Plugins.
Konsequenzen fuer die KI-Sicherheit in Unternehmen
Die Vorfälle zeigen deutlich: KI- und LLM-Plattformen sind nicht „per se“ sicher, selbst wenn sie von grossen, technologisch führenden Anbietern stammen. Sobald KI-Agenten Zugriff auf Code-Repositories, interne Dokumente oder personenbezogene Daten erhalten, werden sie zu attraktiven Einstiegsvektoren für professionelle Angreifergruppen.
Organisationen sollten deshalb einen eigenen Sicherheitslayer über externe KI-Dienste legen. Dazu gehören insbesondere:
• Aufbau eines kontrollierten KI-Gateways, das alle Anfragen zu und von LLMs protokolliert, prüft und gegebenenfalls filtert.
• Klare Richtlinien, welche vertraulichen Daten in öffentliche Modelle eingegeben werden dürfen – ergänzt um technische Data-Loss-Prevention-Kontrollen.
• Einsatz von Filtern zur Erkennung von Prompt Injection und versteckten Instruktionen, angelehnt an Best Practices wie die OWASP-LLM-Empfehlungen.
• Strenge Freigabe- und Inventarprozesse für Browser-Erweiterungen und KI-Plugins auf Unternehmensendgeräten.
• Regelmässige Audits aller Tokens, API-Keys und DevOps-Integrationen (insbesondere GitHub), einschliesslich Least-Privilege-Zugriffsmodellen und Rotation kompromittierbarer Geheimnisse.
Wer KI-Technologie produktiv einsetzt, sollte diese Fälle als Warnsignal verstehen. Die Angriffsfläche moderner IT-Landschaften verschiebt sich zunehmend in Richtung KI-Agenten, Container-Runtimes und automatisierter Entwicklungs-Workflows. Unternehmen, die jetzt in robuste KI-Sicherheitsarchitekturen, kontinuierliche Überwachung und Schulungen zu Themen wie Prompt Injection investieren, reduzieren das Risiko zukünftiger Datenlecks und Kompromittierungen signifikant – und können die Chancen generativer KI deutlich sicherer ausschöpfen.
