ChatGPTs versteckter DNS-Kanal ermöglichte den stillen Diebstahl hochgeladener Dateien durch bösartige GPTs
Check Point Research hat eine Schwachstelle in ChatGPTs Code-Ausführungs-Sandbox offengelegt, die es ermöglichte, hochgeladene Dateien, Gespräche und Patientenakten über DNS-Abfragen unbemerkt zu exfiltrieren. Eine separate Lücke in OpenAI Codex erlaubte den Diebstahl von GitHub-Tokens über manipulierte Branch-Namen. Beide wurden im Februar 2026 behoben.
VaultTools · 8. April 2026
Foto auf Unsplash
Inhaltsverzeichnis
- Was passiert ist
- Wie der DNS-Kanal funktionierte
- Proof of Concept: Patientenakten in Echtzeit exfiltriert
- Eine zweite Lücke: Codex-GitHub-Token-Diebstahl
- Was das für die Dateiverarbeitung bedeutet
- Quellen
Was passiert ist
Am 30. März 2026 veröffentlichte Check Point Research eine Schwachstelle in ChatGPTs Code-Ausführungs-Sandbox, die eine stille Exfiltration von Nutzerdaten ermöglichte, darunter hochgeladene Dateien, Gesprächstexte und KI-generierte Zusammenfassungen. OpenAIs eigene Sicherheitsdokumentation besagte, dass die Laufzeitumgebung „keine direkten ausgehenden Netzwerkanfragen generieren kann”. Diese Aussage war technisch korrekt, aber praktisch unvollständig: Die DNS-Auflösung blieb offen, und das reichte aus.
Check Point beschrieb die Schwachstelle als einen „versteckten Exfiltrationskanal”, den „ein einziger bösartiger Prompt innerhalb einer regulären ChatGPT-Konversation aktivieren konnte”. OpenAI bestätigte, das zugrunde liegende Problem „bereits intern identifiziert” zu haben, und stellte den Fix am 20. Februar 2026 bereit.
Separat legte BeyondTrusts Phantom Labs eine Command-Injection-Schwachstelle in OpenAI Codex offen, die am 16. Dezember 2025 gemeldet und am 5. Februar 2026 behoben wurde.
Wie der DNS-Kanal funktionierte
ChatGPTs Data-Analysis-Umgebung führt Benutzercode in einem isolierten Linux-Container aus. Standard-HTTP- und TCP-Verbindungen zu externen Hosts werden blockiert. Der Container führte jedoch weiterhin DNS-Lookups als Teil des normalen Systembetriebs durch.
Die Forscher von Check Point nutzten diese Lücke aus, indem sie gestohlene Daten in DNS-sichere Fragmente kodierten und als Subdomains in Abfragen an eine vom Angreifer kontrollierte Domain platzierten. Auf der Seite des Angreifers wurden eingehende DNS-Abfragen protokolliert und die Fragmente zur ursprünglichen Nutzlast zusammengesetzt.
Der Kanal war bidirektional. Anweisungen konnten über DNS-Antworten zurückgesendet werden, was bedeutete, dass „ein Prozess innerhalb des Containers diese Antworten lesen, die Nutzlast zusammensetzen und den Austausch fortsetzen konnte”. Dies ermöglichte nicht nur Datendiebstahl, sondern vollen Remote-Shell-Zugriff innerhalb des Containers, völlig unsichtbar für den Nutzer und unter vollständiger Umgehung der Sicherheitsfilter von ChatGPT.
Proof of Concept: Patientenakten in Echtzeit exfiltriert
Check Point erstellte ein benutzerdefiniertes GPT, das als Gesundheitsanalysator getarnt war. Ein Testnutzer lud ein PDF mit Laborergebnissen und persönlichen Identifikationsdaten hoch. ChatGPT verarbeitete das Dokument und versicherte dem Nutzer, dass die Datei „nur an einem sicheren internen Speicherort abgelegt” wurde. Währenddessen hatte das bösartige GPT bereits „die identifizierenden Daten des Patienten zusammen mit der Bewertung des Modells” an einen Remote-Server übertragen.
Der Angriff erforderte keine technischen Kenntnisse des Opfers. Zwei Übertragungsmethoden wurden demonstriert. Bei der ersten wurde der Nutzer dazu verleitet, einen als „Produktivitätstrick” beworbenen Prompt einzufügen, der versteckte Exfiltrationslogik enthielt. Bei der zweiten bettete ein manipuliertes benutzerdefiniertes GPT den Exfiltrationscode in seine Systemanweisungen ein, der sich automatisch während einer normalen Konversation aktivierte.
Die Forscher betonten vier Eigenschaften, die die Schwachstelle gefährlich machten: Unsichtbarkeit (keine Warnungen oder Genehmigungsdialoge), einfache Verbreitung (über Social Engineering oder Einträge im GPT Store), Exposition sensibler Daten (Krankenakten, Finanzdokumente, Gesprächsverläufe) und Persistenz (jede nachfolgende Nachricht in der Sitzung war kompromittiert, sobald der bösartige Prompt injiziert wurde).
Eine zweite Lücke: Codex-GitHub-Token-Diebstahl
BeyondTrusts Phantom Labs identifizierte separat eine Command-Injection-Schwachstelle in OpenAI Codex. Die Lücke resultierte aus unzureichender Eingabebereinigung bei der Verarbeitung von GitHub-Branch-Namen während der cloudbasierten Aufgabenausführung. Ein Angreifer konnte einen manipulierten Branch-Namen erstellen, der beliebige Befehle in den Container des Codex-Agenten injizierte und so den GitHub User Access Token abgriff, was Lese- und Schreibzugriff auf die gesamte Codebasis des Opfers gewährte.
Die Schwachstelle betraf die ChatGPT-Website, die Codex-CLI, das Codex-SDK und die Codex-IDE-Erweiterung. Sie wurde am 16. Dezember 2025 gemeldet und am 5. Februar 2026 behoben. OpenAI erklärte, es gebe keine Hinweise darauf, dass eine der beiden Lücken aktiv ausgenutzt wurde.
Was das für die Dateiverarbeitung bedeutet
Beide Schwachstellen teilen eine gemeinsame Ursache: Dateien und Code wurden in eine Cloud-Umgebung hochgeladen, in der der Nutzer keine Einsicht hatte, was nach der Übermittlung geschah. ChatGPTs Sandbox war als isoliert konzipiert, und OpenAIs Dokumentation bestätigte dies. Der DNS-Kanal bewies das Gegenteil.
Jede Datei, die an einen Cloud-KI-Dienst hochgeladen wird, durchläuft Infrastruktur, die der Nutzer weder einsehen noch überprüfen kann. Die DNS-Exfiltrationslücke ist ein konkreter Beweis dafür, wie sensible Dokumente (Krankenakten, Verträge, Finanzberichte) eine „sichere” Umgebung über Kanäle verlassen können, die im Bedrohungsmodell nie vorgesehen waren.
Clientseitige Verarbeitung beseitigt diese Angriffsfläche vollständig. Wenn eine Datei in WebAssembly im Browser verarbeitet wird, gibt es keinen Container, aus dem man ausbrechen kann, keinen DNS-Resolver, den man missbrauchen kann, und keinen Remote-Server, der die Datei jemals empfängt. Die Verarbeitungslogik läuft in einer Sandbox, die vom Browser selbst kontrolliert wird, ohne jeglichen Netzwerkzugang. Die Datei bleibt auf dem Gerät, weil sie nie irgendwohin gesendet wurde.
Für Nutzer, die sensible Dokumente bearbeiten, lautet die Frage nicht, ob Cloud-Anbieter jeden Seitenkanal finden und patchen werden. Sie lautet, ob die Datei das Gerät überhaupt verlassen musste.
Quellen
- ChatGPT Data Leakage via a Hidden Outbound Channel in the Code Execution Runtime (Check Point Research)
- OpenAI ChatGPT fixes DNS data smuggling flaw (The Register)
- OpenAI Patches ChatGPT Data Exfiltration Flaw and Codex GitHub Token Vulnerability (The Hacker News)
- When AI Trust Breaks: The ChatGPT Data Leakage Flaw That Redefined AI Vendor Security Trust (Check Point Blog)
- OpenAI Codex Command Injection Vulnerability (BeyondTrust)
- OpenAI Codex vulnerability enabled GitHub token theft via command injection (SiliconANGLE)
- Critical Vulnerability in OpenAI Codex Allowed GitHub Token Compromise (SecurityWeek)