Datenabfluss über die Hintertür

Datenklau aus ChatGPT über DNS-Anfragen möglich

ChatGPT
Bildquelle: aileenchik/Shutterstock.com
LinkedInRedditWhatsApp

Check Point Research hat eine Schwachstelle in ChatGPTs Analyseumgebung gefunden. Der Datenabfluss lief über einen Kanal, den OpenAI offenbar nicht auf dem Schirm hatte.

Wer ChatGPT Dateien zur Analyse übergibt, erwartet, dass diese in einer abgeschotteten Umgebung verarbeitet werden. Dass diese Abschottung eine erhebliche Lücke aufwies, haben Sicherheitsforscher von Check Point Research demonstriert. Sie konnten Nutzereingaben und hochgeladene Dokumente unbemerkt aus der Sandbox herausschleusen: “Wir haben festgestellt, dass eine einzige böswillige Eingabeaufforderung einen versteckten Datenabflusskanal innerhalb einer normalen ChatGPT-Konversation aktivieren kann”, schreiben die Forscher.

Anzeige

Der übersehene Kanal

OpenAI sperrt in der Linux-basierten Laufzeitumgebung ausgehende Verbindungen über HTTP und TCP weitgehend. Was jedoch durchgelassen wurde, waren DNS-Anfragen. Die Forscher machten sich das zunutze: Sensible Daten wurden in kleine Fragmente zerlegt, als Subdomains kodiert und an einen externen Server geschickt. Für das System sah das aus wie ganz normale Namensauflösung. Eine Warnung an den Nutzer gab es nicht.

Wie ein Angriff ablief

Zwei Szenarien demonstrierten die Forscher. Im ersten Fall kursierte ein manipulierter Prompt im Netz, verpackt als vermeintlicher Jailbreak oder nützlicher Trick. Fügte ein Nutzer diesen in seine Sitzung ein, begann im Hintergrund sofort die Datenübertragung.

Das zweite Szenario war noch eleganter: Die Angreifer hätten den Schadcode in einem Custom GPT verstecken können. Wer diesem Assistenten Dokumente übergab, war kompromittiert, ohne dass es einer weiteren Interaktion bedurfte.

Anzeige

Da der DNS-Kanal in beide Richtungen funktionierte, konnten die Forscher auch Befehle in die Sandbox einschleusen. Im Ergebnis entstand eine Art Fernzugriff auf den Container. Damit ließen sich beliebige Kommandos absetzen, völlig unabhängig von den Sicherheitsvorkehrungen des Sprachmodells. Alles, was in einer Sitzung verarbeitet wurde, war potenziell einsehbar.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

OpenAI hat reagiert

Nach einer koordinierten Offenlegung durch Check Point Research hat OpenAI die Lücke am 20. Februar 2026 geschlossen.

Große Sprachmodelle verarbeiten zunehmend vertrauliche Informationen in eigenen Ausführungsumgebungen. Wer solche Plattformen betreibt, muss sämtliche Kommunikationsschichten absichern, auch solche, die auf den ersten Blick rein technischer Natur sind. DNS-Tunneling ist kein neuer Angriffsvektor. Dass er in einer so prominenten Umgebung funktionierte, überrascht dennoch.


Lars

Becker

Stellvertretender Chefredakteur

IT Verlag GmbH

Anzeige
ChatGPT
31. März 2026
Datenklau aus ChatGPT über DNS-Anfragen möglich
Facility-Management
31. März 2026
Wie CAFM-Systeme Wartung, Dokumentation und Flächenmanagement integrieren
Hacker
31. März 2026
Einbruch war gestern – Hacker loggen sich heute einfach ein
Linkedin
31. März 2026
LinkedIn-Phishing: Fake-Nachrichten greifen Zugangsdaten ab

Weitere Artikel

Australien ermittelt wegen Social-Media-Verstößen
Hacker hinter Staatstheater-Angriff identifiziert
ClickFix-Angriffe: macOS warnt jetzt vor kopierten Schadbefehlen
Frankreich: Senat diskutiert Social-Media-Sperre bis 15
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.