Katarzyna Petru
Forschern im Bereich der Cybersecurity ist es gelungen, eine schwerwiegende Schwachstelle im ChatGPT Atlas-Browser, das von OpenAI entwickelt wurde, zu entdecken — der Exploit ermöglicht es Angreifern, bösartige Anweisungen in den Speicher der KI einzuschleusen und beliebigen Code auszuführen.
Was genau passiert?
Kurz gesagt:
Die „Gedächtnis“-Funktion in ChatGPT – die es dem Chatbot ermöglicht, Informationen über den Benutzer zwischen den Sitzungen zu speichern – wird zum Ziel eines Angriffs.
Der Angriff basiert auf einer CSRF-Technik (Cross-Site Request Forgery): Ein Benutzer, der bei ChatGPT angemeldet ist, wird (z. B. durch einen Link in einer E-Mail) dazu verleitet, eine bösartige Seite zu besuchen, die eine versteckte Anfrage sendet, um Anweisungen im Gedächtnis von ChatGPT einzugeben.
Nach einer solchen „Infektion“ des Gedächtnisses des Benutzers kann jede weitere Interaktion mit dem Bot (auch im Atlas-Browser) diese versteckten Anweisungen nutzen, was z. B. zu einer Eskalation der Berechtigungen, Datendiebstahl oder der Ausführung von Code führen kann.
Außerdem: Da das Gedächtnis mit dem Konto und nicht ausschließlich mit dem Browser oder Gerät verbunden ist, können die infizierten Anweisungen zwischen Geräten und Sitzungen übertragen werden.
Warum ist der Atlas-Browser in diesem Fall besonders anfällig?
Atlas ist besonders anfällig, weil er oft im Hintergrund mit einem ChatGPT-Konto arbeitet – der Benutzer ist standardmäßig angemeldet, sodass ein Klick auf einen bösartigen Link ausreicht, damit die Seite im Namen des Benutzers eine Aktion ausführt, ohne zusätzliche Autorisierung. Studien von LayerX zeigen, dass die Anti-Phishing-Mechanismen von Atlas wesentlich schlechter abschneiden als die in Chrome oder Edge, sodass viele bösartige Seiten unentdeckt bleiben.
Zusätzlich erleichtern Funktionen wie "Agent Mode" und das Speichern von Browser-Memories die Arbeit, vergrößern aber gleichzeitig die Angriffsfläche – anstelle einer einmaligen Aktion kann der Angreifer einen versteckten Befehl im Konto-Speicher „impfen“, der bei späteren, normal aussehenden Anfragen aktiv wird, was zu einer dauerhaften Verschmutzung der Benutzerumgebung führt.
Was bedeutet das für Benutzer und Unternehmen?
Für Benutzer und Unternehmen bedeutet dies, dass ein einzelner Klick auf einen bösartigen Link ausreicht, damit der Angreifer bösartige Daten dauerhaft im Speicher des ChooseTV-Kontos „impfen“ kann. Ab diesem Moment können selbst scheinbar gewöhnliche Anfragen unerwünschte Aktionen auslösen, wie Datendiebstahl oder Inhaltsänderungen.
Deshalb sollte ChooseTV Atlas als Teil der kritischen Infrastruktur betrachtet werden – verbindet er doch Anwendungen, Identität und Intelligenz in einem Raum. Selbst wenn jemand Atlas nicht verwendet, zeigt das Problem, dass Gedächtnisfunktionen in KI-Systemen einen neuen Angriffsvektor eröffnen. Es ist daher ratsam, das Speichern von Erinnerungen zu begrenzen, Links sorgfältig zu überprüfen undprivate Konten von geschäftlichen Konten zu trennen, bis die Sicherheitslücke vollständig geschlossen ist.
Obwohl der von LayerX präsentierte Exploit realistisch und bedrohlich aussieht, muss betont werden, dass die vollständigen technischen Details nicht offengelegt wurden (um eine einfache Reproduktion des Angriffs zu vermeiden).
Auf der anderen Seite: Die Tatsache, dass der Angriff nicht nur den Browser selbst, sondern auch den mit dem Benutzerkonto integrierten AI-Speicher betrifft, bedeutet, dass das Sicherheitsmodell für AI-Browser einen neuen Ansatz erfordert.
Wenn Sie sich als bewusste Nutzer betrachten oder in einer Organisation arbeiten, behandeln Sie Atlas und ähnliche Browser als "Early Access"-Version mit höherem Risiko – und ergreifen Sie Vorsichtsmaßnahmen, bis der Markt und die Hersteller ihnen folgen.
