Das Cybersicherheitsunternehmen Radware hat einen neuen Bericht veröffentlicht, der in der Technologiewelt für Aufsehen sorgt und eine kritische Sicherheitslücke im Deep Research Tool von OpenAI ChatGPT aufdeckt. Diese als „ZombieAgent“ bezeichnete Schwachstelle ermöglicht es Angreifern, sensible Daten zu stehlen und KI-Tools zu übernehmen, ohne dass eine Benutzerinteraktion erforderlich ist. Der besorgniserregendste Aspekt solcher Angriffe ist, dass sie vollständig innerhalb der Cloud-Infrastruktur von OpenAI stattfinden und von Unternehmens-Firewalls oder Endpunktschutzsystemen nicht erkannt werden können.
Kritische ZombieAgent-Lücke in ChatGPT: Datendiebstahl ohne Benutzerinteraktion
Angreifer verstecken bei dieser Methode bösartige Anweisungen in einer gewöhnlichen E-Mail oder einem Dokument. Sobald das autonome Recherche-Tool von ChatGPT diese Dokumente verarbeitet, wird die Schadsoftware aktiviert, ohne dass der Benutzer auf einen Link klicken muss. Einmal ausgelöst, sammelt die Sicherheitslücke geräuschlos Daten aus dem Posteingang des Benutzers, greift auf sensible Dateien zu und kann diese Informationen an externe Server übermitteln. Radware meldete die Situation am 26. September 2025 an OpenAI, und das Unternehmen schloss diese schwerwiegende Lücke mit einem am 16. Dezember 2025 veröffentlichten Patch.
Der Hauptunterschied zwischen ZombieAgent und anderen Methoden besteht darin, dass bösartige Regeln direkt in das Langzeitgedächtnis der KI eingebettet werden können. Diese Funktion ermöglicht es Angreifern, die dauerhafte Kontrolle über das System zu behalten, ohne erneut mit dem Zielbenutzer interagieren zu müssen. Forscher betonen, dass sich diese Lücke autonom auf andere Personen innerhalb der Organisation oder auf E-Mail-Empfänger ausbreiten kann. Experten vergleichen dies mit dem Risiko einer sich schnell verbreitenden „Wurm-Kampagne“ innerhalb von Organisationen.
Diese neue Exfiltrationsmethode schafft es zudem, die zuvor von OpenAI für die „ShadowLeak“-Lücke getroffenen Sicherheitsmaßnahmen zu umgehen. Obwohl das Unternehmen eine Maßnahme ergriffen hat, um zu verhindern, dass ChatGPT Link-Adressen dynamisch ändert, verwendet ZombieAgent vorverarbeitete URL-Strukturen, die jeweils mit einem anderen Zeichen enden. Auf diese Weise können Daten Zeichen für Zeichen nach außen geschleust werden. Vertreter von Radware weisen darauf hin, dass Unternehmen strukturelle Schwachstellen berücksichtigen müssen, wenn sie solchen autonomen Tools Zugriff auf sensible Systeme gewähren.
Die Tatsache, dass KI-Tools täglich mit mehr Befugnissen ausgestattet werden, eröffnet eine neue Front in der Welt der Cybersicherheit. Der Prozess der Verarbeitung von Unternehmensdaten durch autonome KI-Systeme bringt Bereiche ans Licht, in denen traditionelle Sicherheitsmethoden unzureichend sind.
