Tools / Neuigkeiten / ChatGPTs versteckter DNS-Kanal ermöglichte den stillen Diebstahl hochgeladener Dateien durch bösartige GPTs
Presse

ChatGPTs versteckter DNS-Kanal ermöglichte den stillen Diebstahl hochgeladener Dateien durch bösartige GPTs

· VaultTools

Check Point Research hat eine Schwachstelle in ChatGPTs Code-Ausführungs-Sandbox offengelegt, die es ermöglichte, hochgeladene Dateien, Gespräche und Patientenakten über DNS-Abfragen unbemerkt zu exfiltrieren. Eine separate Lücke in OpenAI Codex erlaubte den Diebstahl von GitHub-Tokens über manipulierte Branch-Namen. Beide wurden im Februar 2026 behoben.

VaultTools · 8. April 2026

Serverraum mit blauer Beleuchtung, der Cloud-Infrastruktur und die versteckten Netzwerkkanäle darstellt, über die Daten exfiltriert werden können. Foto auf Unsplash

Inhaltsverzeichnis


Was passiert ist

Am 30. März 2026 veröffentlichte Check Point Research eine Schwachstelle in ChatGPTs Code-Ausführungs-Sandbox, die eine stille Exfiltration von Nutzerdaten ermöglichte, darunter hochgeladene Dateien, Gesprächstexte und KI-generierte Zusammenfassungen. OpenAIs eigene Sicherheitsdokumentation besagte, dass die Laufzeitumgebung „keine direkten ausgehenden Netzwerkanfragen generieren kann”. Diese Aussage war technisch korrekt, aber praktisch unvollständig: Die DNS-Auflösung blieb offen, und das reichte aus.

Check Point beschrieb die Schwachstelle als einen „versteckten Exfiltrationskanal”, den „ein einziger bösartiger Prompt innerhalb einer regulären ChatGPT-Konversation aktivieren konnte”. OpenAI bestätigte, das zugrunde liegende Problem „bereits intern identifiziert” zu haben, und stellte den Fix am 20. Februar 2026 bereit.

Separat legte BeyondTrusts Phantom Labs eine Command-Injection-Schwachstelle in OpenAI Codex offen, die am 16. Dezember 2025 gemeldet und am 5. Februar 2026 behoben wurde.

Wie der DNS-Kanal funktionierte

ChatGPTs Data-Analysis-Umgebung führt Benutzercode in einem isolierten Linux-Container aus. Standard-HTTP- und TCP-Verbindungen zu externen Hosts werden blockiert. Der Container führte jedoch weiterhin DNS-Lookups als Teil des normalen Systembetriebs durch.

Die Forscher von Check Point nutzten diese Lücke aus, indem sie gestohlene Daten in DNS-sichere Fragmente kodierten und als Subdomains in Abfragen an eine vom Angreifer kontrollierte Domain platzierten. Auf der Seite des Angreifers wurden eingehende DNS-Abfragen protokolliert und die Fragmente zur ursprünglichen Nutzlast zusammengesetzt.

Der Kanal war bidirektional. Anweisungen konnten über DNS-Antworten zurückgesendet werden, was bedeutete, dass „ein Prozess innerhalb des Containers diese Antworten lesen, die Nutzlast zusammensetzen und den Austausch fortsetzen konnte”. Dies ermöglichte nicht nur Datendiebstahl, sondern vollen Remote-Shell-Zugriff innerhalb des Containers, völlig unsichtbar für den Nutzer und unter vollständiger Umgehung der Sicherheitsfilter von ChatGPT.

Proof of Concept: Patientenakten in Echtzeit exfiltriert

Check Point erstellte ein benutzerdefiniertes GPT, das als Gesundheitsanalysator getarnt war. Ein Testnutzer lud ein PDF mit Laborergebnissen und persönlichen Identifikationsdaten hoch. ChatGPT verarbeitete das Dokument und versicherte dem Nutzer, dass die Datei „nur an einem sicheren internen Speicherort abgelegt” wurde. Währenddessen hatte das bösartige GPT bereits „die identifizierenden Daten des Patienten zusammen mit der Bewertung des Modells” an einen Remote-Server übertragen.

Der Angriff erforderte keine technischen Kenntnisse des Opfers. Zwei Übertragungsmethoden wurden demonstriert. Bei der ersten wurde der Nutzer dazu verleitet, einen als „Produktivitätstrick” beworbenen Prompt einzufügen, der versteckte Exfiltrationslogik enthielt. Bei der zweiten bettete ein manipuliertes benutzerdefiniertes GPT den Exfiltrationscode in seine Systemanweisungen ein, der sich automatisch während einer normalen Konversation aktivierte.

Die Forscher betonten vier Eigenschaften, die die Schwachstelle gefährlich machten: Unsichtbarkeit (keine Warnungen oder Genehmigungsdialoge), einfache Verbreitung (über Social Engineering oder Einträge im GPT Store), Exposition sensibler Daten (Krankenakten, Finanzdokumente, Gesprächsverläufe) und Persistenz (jede nachfolgende Nachricht in der Sitzung war kompromittiert, sobald der bösartige Prompt injiziert wurde).

Eine zweite Lücke: Codex-GitHub-Token-Diebstahl

BeyondTrusts Phantom Labs identifizierte separat eine Command-Injection-Schwachstelle in OpenAI Codex. Die Lücke resultierte aus unzureichender Eingabebereinigung bei der Verarbeitung von GitHub-Branch-Namen während der cloudbasierten Aufgabenausführung. Ein Angreifer konnte einen manipulierten Branch-Namen erstellen, der beliebige Befehle in den Container des Codex-Agenten injizierte und so den GitHub User Access Token abgriff, was Lese- und Schreibzugriff auf die gesamte Codebasis des Opfers gewährte.

Die Schwachstelle betraf die ChatGPT-Website, die Codex-CLI, das Codex-SDK und die Codex-IDE-Erweiterung. Sie wurde am 16. Dezember 2025 gemeldet und am 5. Februar 2026 behoben. OpenAI erklärte, es gebe keine Hinweise darauf, dass eine der beiden Lücken aktiv ausgenutzt wurde.

Was das für die Dateiverarbeitung bedeutet

Beide Schwachstellen teilen eine gemeinsame Ursache: Dateien und Code wurden in eine Cloud-Umgebung hochgeladen, in der der Nutzer keine Einsicht hatte, was nach der Übermittlung geschah. ChatGPTs Sandbox war als isoliert konzipiert, und OpenAIs Dokumentation bestätigte dies. Der DNS-Kanal bewies das Gegenteil.

Jede Datei, die an einen Cloud-KI-Dienst hochgeladen wird, durchläuft Infrastruktur, die der Nutzer weder einsehen noch überprüfen kann. Die DNS-Exfiltrationslücke ist ein konkreter Beweis dafür, wie sensible Dokumente (Krankenakten, Verträge, Finanzberichte) eine „sichere” Umgebung über Kanäle verlassen können, die im Bedrohungsmodell nie vorgesehen waren.

Clientseitige Verarbeitung beseitigt diese Angriffsfläche vollständig. Wenn eine Datei in WebAssembly im Browser verarbeitet wird, gibt es keinen Container, aus dem man ausbrechen kann, keinen DNS-Resolver, den man missbrauchen kann, und keinen Remote-Server, der die Datei jemals empfängt. Die Verarbeitungslogik läuft in einer Sandbox, die vom Browser selbst kontrolliert wird, ohne jeglichen Netzwerkzugang. Die Datei bleibt auf dem Gerät, weil sie nie irgendwohin gesendet wurde.

Für Nutzer, die sensible Dokumente bearbeiten, lautet die Frage nicht, ob Cloud-Anbieter jeden Seitenkanal finden und patchen werden. Sie lautet, ob die Datei das Gerät überhaupt verlassen musste.


Quellen