ChatGPT: 7 kritische Sicherheitslücken als Wegbereiter für Datendiebstahl und Hijacking

Untersuchungen von Tenable decken versteckte KI-Schwachstellen auf, welche Datenexfiltration, die Aufhebung von Sicherheitsmaßnahmen und anhaltende Kompromittierungen innerhalb von „ChatGPT“ ermöglichen

[datensicherheit.de, 11.11.2025] Tenable hat nach eigenen Angaben bei Tests von OpenAI’s „ChatGPT-4o“ sieben Schwachstellen und Angriffstechniken aufgedeckt, von denen einige später auch in „ChatGPT-5“ nachgewiesen worden seien. Diese kollektiv als „HackedGPT“ bezeichneten Schwachstellen setzen Benutzer demnach Datenschutzrisiken aus, indem sie integrierte Sicherheitsmechanismen umgingen. Obwohl OpenAI einige der identifizierten Probleme behoben habe, seien andere zum Zeitpunkt der Veröffentlichung noch nicht gelöst worden, so dass bestimmte Kompromittierungspfade weiterhin bestünden. Im Falle einer Ausnutzung könnten sie es Angreifern ermöglichen, unbemerkt persönliche Daten zu stehlen, einschließlich gespeicherter Chats und Erinnerungen.

Abbildung: Tenable

Tenable warnt vor „HackedGPT“-Schwachstellen; Diese setzen Benutzer Datenschutzrisiken aus, indem sie integrierte Sicherheitsmechanismen umgehen

Web-Browsing- und Speicherfunktionen von „ChatGPT“ betroffen

Diese Schwachstellen offenbarten eine neue Art von KI-Angriffen – eine „Indirect Prompt Injection“ – bei der versteckte Anweisungen in externen Websites oder Kommentaren das Modell dazu veranlassen könnten, unbefugte Aktionen auszuführen.

• Betroffen seien die Web-Browsing- und Speicherfunktionen von „ChatGPT“, welche Live-Internetdaten verarbeiteten und Benutzerinformationen speicherten und somit Möglichkeiten für Manipulationen und Datenlecks eröffneten.

Tenable Research habe gezeigt, dass diese Angriffe unbemerkt auf zwei Arten erfolgen könnten: „0-Klick“-Angriffe, bei denen allein das Stellen einer Frage an „ChatGPT“ die Kompromittierung auslöse, und „1-Klick“-Angriffe, bei denen das Anklicken eines bösartigen Links versteckte Befehle aktiviere.

„Persistent Memory Injection“ – schädliche Befehle im Langzeitspeicher von „ChatGPT“ abgelegt

Noch besorgniserregender sei eine Angriffstechnik namens „Persistent Memory Injection“, bei der schädliche Befehle im Langzeitspeicher von „ChatGPT“ gespeichert würden und auch dann noch aktiv blieben, wenn der Nutzer die App schließt. Auf diese Weise könnten Angreifer dauerhafte Bedrohungen einschleusen, welche private Informationen in künftigen Sitzungen offenlegen könnten, bis sie entfernt werden.

• Zusammen genommen zeigten diese Schwachstellen, wie Angreifer die Sicherheitsvorkehrungen von OpenAI umgehen und auf die privaten Verlaufsdaten der Nutzer zugreifen könnten.

„,HackedGPT’ deckt eine grundlegende Unzulänglichkeit in der Art und Weise auf, wie große Sprachmodelle beurteilen, welchen Informationen sie vertrauen können“, kommentiert Moshe Bernstein, „Senior Research Engineer“ bei Tenable. Einzeln betrachtet schienen diese Sicherheitslücken geringfügig zu sein – in ihrer Gesamtheit bildeten sie jedoch eine komplette Angriffskette, von Einschleusung und Umgehung bis hin zu Datendiebstahl und Persistenz. Dies verdeutliche, dass KI-Systeme nicht nur potenzielle Angriffsziele darstellten, sondern dass sie auch zu Angriffstools umfunktioniert werden könnten, um unbemerkt Informationen aus alltäglichen Chats oder beim Surfen abzugreifen.

„HackedGPT“ – 7 von Tenable Research identifizierte Schwachstellen und Angriffstechniken:

1. „Indirect Prompt Injection“ über vertrauenswürdige Websites
   Angreifer würden Befehle in legitim erscheinenden Online-Inhalten wie Blog-Kommentaren oder öffentlichen Posts verbergen. Beim Durchsuchen dieser Inhalte befolge „ChatGPT“ unwissentlich diese versteckten Anweisungen. Kurz gesagt: „,ChatGPT’ kann dazu gebracht werden, die Anweisungen eines Angreifers auszuführen – einfach dadurch, dass es eine kompromittierte Seite liest.“
2. „Indirect Prompt Injection“ ohne Klick im Suchkontext
   Nutzer müssten dabei weder klicken noch irgendetwas Besonderes tun, um kompromittiert zu werden. „Wenn ,ChatGPT’ im Internet nach Antworten sucht, kann es auf eine Seite mit verstecktem Schadcode stoßen.“ Einfach nur eine Frage zu stellen, könnte dazu führen, dass das Modell solche Anweisungen befolge und private Daten preisgebe – was Forscher als „Single-Prompt-Kompromittierung” bezeichneten.
3. „Prompt Injection“ mittels „1-Klick“
   Ein einziger Klick könne hierbei einen Angriff auslösen. „Versteckte Befehle, die in scheinbar harmlosen Links eingebettet sind, wie beispielsweise ,https://chatgpt.com/?q={Prompt}‘, können dazu führen, dass ,ChatGPT’ bösartige Aktionen ausführt, ohne sich dessen bewusst zu sein. Ein Klick genügt, damit ein Angreifer die Kontrolle über Ihren Chat übernehmen kann.“
4. Umgehung von Sicherheitsmechanismen
   Normalerweise überprüfe „ChatGPT“ Links und blockiere unsichere Websites. Angreifer könnten dies umgehen, indem sie vertrauenswürdige Wrapper-URLs verwenden (z.B. „bing.com/ck/a?…“ von Bing), welche das tatsächliche Ziel verbergen. „ChatGPT“ vertraue dem Wrapper, zeige den scheinbar sicheren Link an und könne zu einer bösartigen Website weitergeleitet werden.
5. „Conversation Injection“
   „ChatGPT“ nutze zwei Systeme – „SearchGPT“ für die Suche und „ChatGPT“ für Konversationen. Angreifer könnten sich „SearchGPT“ zunutze machen, um versteckte Anweisungen einzufügen, „die ,ChatGPT’ später im Rahmen der Konversation ausliest“. Tatsächlich führe die KI letztendlich eine „Prompt Injection“ bei sich selbst durch, indem sie Befehle ausführt, die der Benutzer nie geschrieben hat.
6. Verbergen bösartiger Inhalte
   Ein Programmierfehler in der Formatierung ermögliche es Angreifern, schädliche Anweisungen in Code oder Markdown-Text zu verstecken. Dem Nutzer werde eine saubere Nachricht angezeigt, aber „ChatGPT“ lese dennoch den versteckten Inhalt und führe ihn aus.
7. „Persistent Memory Injection“
   Die Speicherfunktion von „ChatGPT“ zeichne vergangene Interaktionen auf. Angreifer könnten böswillige Anweisungen in diesem Langzeitspeicher hinterlegen, wodurch das Modell diese Befehle über mehrere Sitzungen hinweg wiederholt ausführe und kontinuierlich private Daten preisgebe, bis der Speicher geleert wird.

Schwachstellen könnten noch weiterhin in „ChatGPT-5“ aktiv sein

Hunderte Millionen Menschen nutzten „ChatGPT“ täglich für geschäftliche Zwecke, Recherchen und persönliche Kommunikation. Eine Ausnutzung dieser Schwachstellen könnte zu Folgendem führen:

• Einfügung versteckter Befehle in Konversationen oder Langzeitspeicher
• Abgriff sensible Daten aus Chat-Verläufen oder verbundenen Diensten wie „Google Drive“ oder „Gmail“
• Ausspähung von Informationen über Browser- und Web-Integrationen
• Manipulation von Antworten, um Fehlinformationen zu verbreiten oder Nutzer zu beeinflussen

Tenable Research habe seine Untersuchung nach den „Grundsätzen einer verantwortungsvollen Offenlegung“ durchgeführt. OpenAI habe einige der identifizierten Schwachstellen behoben, aber verschiedene seien weiterhin in „ChatGPT-5“ aktiv oder zum Zeitpunkt der Veröffentlichung noch nicht behoben gewesen, so dass bestimmte Kompromittierungspfade offen blieben.

KI-Tools wie „ChatGPT“ können manipuliert werden können – entsprechende Kontrollmechanismen zur Abwehr nötig

Tenable empfiehlt Anbietern von KI-Lösungen, ihre Abwehrmaßnahmen gegen „Prompt Injection“ zu verstärken, „indem sie sicherstellen, dass Sicherheitsmechanismen wie ,url_safe’ wie vorgesehen funktionieren, und indem sie Browsing-, Such- und Speicherfunktionen isolieren, um kontextübergreifende Angriffe zu verhindern“.

Tenable empfiehlt Sicherheitsexperten Folgendes:

• „Behandeln Sie KI-Tools als aktive Angriffsflächen und nicht als passive Assistenten!“
• „Überprüfen und überwachen Sie KI-Integrationen auf mögliche Manipulationen oder Datenlecks!“
• „Untersuchen Sie ungewöhnliche Anfragen oder Ausgaben, die auf ,Prompt Injection’ hindeuten könnten!“
• „Testen und verstärken Sie die Abwehrmaßnahmen gegen Injektions- und Exfiltrationspfade!“
• „Führen Sie Kontrollmechanismen für ,Governance’ und Datenklassifizierung im Zusammenhang mit KI-Nutzung ein!“

„Bei dieser Untersuchung geht es nicht nur um die Aufdeckung von Schwachstellen, sondern darum, die Art und Weise der Absicherung von KI zu verändern“, so Bernstein. Abschließend gibt er zu bedenken: „Sowohl Einzelpersonen als auch Unternehmen müssen davon ausgehen, dass KI-Tools manipuliert werden können, und entsprechende Kontrollmechanismen entwickeln. Das bedeutet ,Governance’, Datensicherheit und ständiges Testen, um sicherzustellen, dass diese Systeme für uns arbeiten und nicht gegen uns.“

Weitere Informationen zum Thema:

tenable
Your exposure ends here / We are dedicated to isolating and eradicating the exposures that hold organizations back

tenable, blog / AI Security, Moshe Bernstein & Liv Matan Liv Matan, 05.11.2025
HackedGPT: Novel AI Vulnerabilities Open the Door for Private Data Leakage

tenable
Moshe Bernstein – Senior Security Researcher, Tenable

OpenAI, 07.08.2025
Entdecke GPT-5 / Unser bisher schlauestes, schnellstes und nützlichstes Modell – mit eingebautem Denkvermögen, das Expertenwissen für alle zugänglich macht

OpenAI, 13.05.2024
Hallo GPT-4o / GPT‑4o ist da, unser neues Flagship-Modell mit Reasoning für Audio, visuelle Eingaben und Text in Echtzeit

datensicherheit.de, 26.07.2023
Code-Empfehlungen: Gefahr durch ChatGPT / Voyager18-Forschungsteam von Vulcan Cyber hat neue, auf ChatGPT basierende Angriffstechnik entdeckt

datensicherheit.de, 20.04.2023
ChatGPT-Hype lässt Cyber-Kriminelle kreativ werden / Palo Alto Networks hat zahlreiche Fallen und Betrugsversuche im ChatGPT-Kontext entdeckt

datensicherheit.de, 20.03.2023
ChatGPT4: Sicherheitsanalyse zeigt Szenarien für beschleunigte Cyber-Kriminalität / Die Sicherheitsforscher von Check Point mahnen, dass trotz der Sicherheitsvorkehrungen einige Beschränkungen leicht umgangen werden können / Hacker können ihre Ziele ohne große Hindernisse erreichen

datensicherheit.de, 23.02.2023
ChatGPT: Hacker nutzen Fake-Apps zur Verbreitung von Malware / Bedrohungsakteure versprechen uneingeschränkten, kostenlosen Zugang zum Premium-ChatGPT

datensicherheit.de, 22.02.2023
ChatGPT: Malware-Kampagne missbraucht Hype / Malware ermöglicht Diebstahl von Login-Daten und persönlichen Informationen