Die Sicherheitsforscher von LayerX haben nach eigenen Angaben eine Schwachstelle im neuen Browser ChatGPT Atlas von OpenAI identifiziert. Die Kombination aus Cross-Site Request Forgery (CSRF) und der persistenten Speicherfunktion des Assistenten ermöglicht es Angreifern, dauerhafte Instruktionen in das Gedächtnis des KI-Agents zu schreiben. Diese Anweisungen wirken geräte- und sitzungsübergreifend und können unerwünschte Aktionen auslösen – bis hin zu Code-Downloads, Rechteausweitung und Datendiebstahl. Ein Patch ist laut LayerX derzeit nicht verfügbar; technische Details bleiben aus Sicherheitsgründen unter Verschluss.
CSRF trifft persistente Erinnerung: Mechanismus und Auswirkungen
CSRF zwingt einen authentifizierten Browser dazu, ungewollte Anfragen in fremdem Kontext auszuführen. In Atlas lässt sich dieses Muster laut LayerX nutzen, um verdeckte Einträge in den permanenten Speicher des Assistenten zu schreiben. Der KI-Agent interpretiert diese Einträge später als Teil seines Arbeitskontextes und kann daraus automatisch Aktionen ableiten, die der Nutzer nicht ausdrücklich angefordert hat.
Von Web-App-Analogien zu KI-spezifischen Risiken
Das Verhalten ähnelt Stored XSS in klassischen Webanwendungen, verlagert den Effekt jedoch in den Arbeitsgedächtnisraum eines KI-Agents. Während eine XSS-Nutzlast typischerweise die dargestellte Seite beeinflusst, persistiert die Anweisung in Atlas’ Speicher und beeinflusst Folgesitzungen, Geräte und Browserprofile, bis sie manuell entfernt wird.
Warum KI-Agenten besonders exponiert sind
Atlas vereint Gedächtnis und Agentenfähigkeit (etwa das Ausführen von Handlungen im System- und Webumfeld). Wird eine schädliche Direktive als „Regel“ oder „Aufgabe“ verstanden, kann sie bei normalen Nutzeranfragen Kettenreaktionen auslösen – beispielsweise Dateizugriffe, externe Anfragen oder das Nachladen von Komponenten. Dieses Muster entspricht bekannten Risiken aus der Prompt-Injection-Forschung und wird in Ressourcen wie der OWASP LLM Top 10 als Kernproblem persistenter und unkontrollierter Agentenverhalten eingeordnet.
Angriffsablauf in vereinfachter Form
Besucht ein bereits in Atlas authentifizierter Nutzer eine manipulierte Seite, kann diese laut LayerX Anfragen im Nutzerkontext initiieren. In der Folge landen unbemerkt Direktiven im Atlas-Speicher. Nach dieser „Vergiftung“ genügt eine alltägliche Eingabe, um automatisierte Abläufe zu triggern. Kritisch: Speichersynchronisierung sorgt für Persistenz über Geräte und Browser hinweg, wodurch die Wirkung andauert, bis der Eintrag aktiv gelöscht wird.
Einordnung: Bedrohungslandschaft und Good Practices
Die gemeldete Schwachstelle spiegelt aktuelle Trends in der KI-Sicherheit wider: Prompt Injection, unzureichend begrenzte Agentenrechte, unsichere Ausgabehandhabung und langfristige Speicherung unvalidierter Eingaben. Bewährte Maßnahmen aus dem OWASP-Umfeld umfassen Prinzip der geringsten Rechte, Human-in-the-Loop bei sensiblen Aktionen, Ausgabevalidierung vor Automation sowie Trennung von Vertrauensdomänen (z. B. isolierte Profile für riskante Workflows).
Empfehlungen für Nutzer und Unternehmen
Bis zur Verfügbarkeit eines Patches sollte die Verarbeitung sensibler Informationen in Atlas minimiert werden. Vermeiden Sie unbekannte Links und unüberprüfte Seiten. Überprüfen und bereinigen Sie regelmäßig den permanenten Speicher in den Einstellungen und begrenzen Sie Agentenberechtigungen auf das Nötigste.
Trennen Sie Arbeitsbereiche durch separate Profile oder Konten, aktivieren Sie 2FA und halten Sie Geheimnisse (z. B. API-Schlüssel) außerhalb hochautomatisierter Umgebungen. Implementieren Sie Protokollierung und Monitoring für Agentenaktionen, um Anomalien frühzeitig zu erkennen und reagieren zu können.
Patch-Status und Verfügbarkeit von ChatGPT Atlas
LayerX hat OpenAI informiert und veröffentlicht keine Exploit-Details, bis ein Fix bereitsteht. Zum Zeitpunkt der Veröffentlichung ist kein Update verfügbar. Der Browser ChatGPT Atlas steht für macOS bereit; Versionen für Windows und Android sind angekündigt, jedoch ohne Terminangabe.
Die Verknüpfung aus persistentem Gedächtnis und Agentenfähigkeiten verlangt eine strenge Threat-Modeling-Disziplin und Sicherheitsvorgaben per Default. Bis ein Patch vorliegt, sollten Organisationen Speicher- und Berechtigungsrichtlinien schärfen, regelmäßige Audits durchführen und Notfallprozesse für neuartige LLM-Risiken bereitstellen. Anwender profitieren von konsequenter Speicherhygiene, defensiver Webnutzung und der fortlaufenden Orientierung an Empfehlungen wie der OWASP LLM Top 10.
