{"id":5602,"date":"2025-10-30T12:47:43","date_gmt":"2025-10-30T12:47:43","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5602"},"modified":"2025-10-30T12:47:43","modified_gmt":"2025-10-30T12:47:43","slug":"atlas-browser-exploit-ermoglicht-angriff-auf-chatgpt-speicher","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5602","title":{"rendered":"Atlas-Browser-Exploit erm\u00f6glicht Angriff auf ChatGPT-Speicher"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Security-Forscher haben eine neue Schwachstelle entdeckt, die den ChatGPT Atlas-Browser von OpenAI betrifft.\n

jackpress \u2013 shutterstock.com<\/p>\n<\/div>\n

Nur wenige Tage, nachdem Cybersicherheitsanalysten davor gewarnt hatten<\/a>, den neuen Atlas-Browser von OpenAI zu installieren, haben Forscher von LayerX Security eine Schwachstelle entdeckt. Die L\u00fccke soll es Angreifen erm\u00f6glichen, b\u00f6sartige Befehle direkt in den ChatGPT-Speicher der Anwender einzuschleusen und Remote-Code auszuf\u00fchren.<\/p>\n

So funktioniert der Exploit<\/h2>\n

Wie Or Eshed, Mitbegr\u00fcnder und CEO von LayerX, in seinem Blogbeitrag<\/a> erkl\u00e4rt, l\u00e4uft der Exploit in f\u00fcnf Schritte ab. Im ersten Schritt meldet sich ein Benutzer bei ChatGPT an, und ein Authentifizierungs-Cookie oder -Token wird in seinem Browser gespeichert. Im n\u00e4chsten Schritt klickt das Opfer auf einen b\u00f6sartigen Link, der ihn zu einer kompromittierten Webseite f\u00fchrt.<\/p>\n

Anschlie\u00dfend ruft die b\u00f6sartige Seite eine Cross-Site-Request-Forgery-Anfrage (CSRF<\/a>) auf, um die bereits vorhandene Authentifizierung des Anwenders bei ChatGPT auszunutzen. Im vierten Schritt injiziert der CSRF-Exploit dann ohne Wissen des Benutzers versteckte Anweisungen in den Speicher von ChatGPT und kontaminiert so die Memory des LLM.<\/p>\n

Im f\u00fcnften Schritt werden die besch\u00e4digten Speicherbestandteile aufgerufen, wenn der User ChatGPT<\/a> abfragt. Dadurch kann b\u00f6sartiger Code bereitgestellt werden, der Angreifern die Kontrolle \u00fcber Systeme oder Code erm\u00f6glicht.<\/p>\n

\u00dcber den Speicher von ChatGPT sichert der KI-Chatbot Details wie Benutzeranfragen, Chats und Aktivit\u00e4ten, Pr\u00e4ferenzen und Stilnotizen , worauf er mit personalisierten und relevanten Informationen reagieren kann.<\/p>\n

\u201eDer Speicher befindet sich auf Kontoebene und bleibt \u00fcber Sitzungen, Browser und Ger\u00e4te hinweg bestehen, sodass ein einziger erfolgreicher K\u00f6der den Benutzer von zu Hause ins B\u00fcro und vom privaten in den gesch\u00e4ftlichen Kontext begleitet\u201c, erl\u00e4utert Amit Jaju, Global Partner\/Senior Managing Director bei Ankura Consulting. \u201eIn BYOD- oder gemischt genutzten Umgebungen l\u00f6st diese Persistenz auch nach einem Neustart oder einem Browserwechsel erneut riskante Verhaltensweisen aus und erweitert den Explosionsradius \u00fcber einen einzelnen Endpunkt hinaus. Dies ist besonders besorgniserregend, wenn pers\u00f6nliche ChatGPT-Konten f\u00fcr Arbeitsaufgaben verwendet werden.\u201c<\/p>\n

Jaju r\u00e4umt ein, dass die Akzeptanz innerhalb von Unternehmen derzeit noch sehr gering sei. Atlas wurde gerade erst eingef\u00fchrt, ist nur f\u00fcr macOS verf\u00fcgbar und der Unternehmenszugang ist standardm\u00e4\u00dfig deaktiviert. Daher beschr\u00e4nkt sich die Nutzung auf Pilotprojekte und nicht genehmigte Installationen. Da es jedoch standardm\u00e4\u00dfig in Business-Arbeitsbereichen verf\u00fcgbar ist, ist eine Ausweitung auf die berufliche Nutzung plausibel.<\/p>\n

Ein Sprecher von OpenAI gab in Bezug auf die Sicherheitsl\u00fccke folgendes Statement: \u201eNach unserem Kenntnisstand hat dieses Problem keine Auswirkungen auf ChatGPT Atlas, da dieses nicht anf\u00e4llig f\u00fcr diese Art von Cross-Site-Request-Forgery-Angriffen (CSRF) ist. Wir haben LayerX um weitere Informationen gebeten \u2013 auf der Grundlage der bisher vorgelegten Informationen konnten wir die Ergebnisse des Berichts nicht reproduzieren. Bislang sind uns keine Versuche bekannt, dies in der Praxis auszunutzen.\u201c<\/p>\n

So erkennen Sie einen Angriff<\/h2>\n

Das Aufsp\u00fcren einer speicherbasierten Kompromittierung in ChatGPT Atlas ist nicht mit der Suche nach herk\u00f6mmlicher Malware vergleichbar. Es gibt keine Dateien, Registrierungsschl\u00fcssel oder ausf\u00fchrbaren Dateien, die isoliert werden m\u00fcssen. Stattdessen m\u00fcssen Sicherheitsteams nach Verhaltensauff\u00e4lligkeiten Ausschau halten. Dazu z\u00e4hlen zum Beispiel subtile Ver\u00e4nderungen in der Art und Weise, wie der Chatbot reagiert, was er vorschl\u00e4gt und wann er dies tut.<\/p>\n

\u201eEin Sprachassistent, der pl\u00f6tzlich Skripte mit ausgehenden URLs anbietet oder die Absichten des Benutzers zu genau vorhersagt, st\u00fctzt sich m\u00f6glicherweise auf injizierte Speichereintr\u00e4ge\u201c, mahnt Sanchit Vir Gogia, CEO und Chefanalyst bei Greyhound Research. \u201eWenn der Speicher kompromittiert ist, kann die KI mit unberechtigtem Kontext agieren. Das sollte ein Warnsignal sein\u201c<\/p>\n

Analysten m\u00fcssten darauf achten, Browser-Protokolle, Zeitstempel von Speicher\u00e4nderungen und Prompt-Response-Sequenzen miteinander zu korrelieren, f\u00fcgt Gogia hinzu. \u201eDas Exportieren und Parsen des Chat-Verlaufs ist unerl\u00e4sslich.\u201c SOC-Teams sollten besonders auf Sequenzen achten, in denen Benutzer auf unbekannte Links geklickt haben, gefolgt von ungew\u00f6hnlichen Speicheraktualisierungen oder KI-gesteuerten Agentenaktionen.<\/p>\n

Der Experte von Greyhound Research verweist darauf, dass es sich hierbei nicht um ein Plug-and-Play-Erkennungsproblem handle. Sicherheitsma\u00dfnahmen beg\u00e4nnen damit, dass Atlas f\u00fcr das Unternehmen standardm\u00e4\u00dfig deaktiviert bleibt. Im Gesch\u00e4ftsbereich sollte es auf streng begrenzte Pilotprojekte mit nicht sensiblen Daten beschr\u00e4nkt werden.<\/p>\n

Jaju von Ankura Consulting f\u00fcgte hinzu, dass Unternehmen f\u00fcr die \u00dcberwachung Erkennungsmechanismen f\u00fcr KI-vorgeschlagenen Code, das Abrufen von Remote-Payloads, ungew\u00f6hnliche Ausg\u00e4nge nach der Nutzung von ChatGPT und Session-Riding-Verhalten in SaaS hinzuf\u00fcgen sollten. Er schlug au\u00dferdem vor, Webfilter f\u00fcr neu registrierte oder nicht kategorisierte Domains zu aktivieren.<\/p>\n

Gogia erg\u00e4nzte: \u201eSobald der Speicher eines Atlas-Benutzers kompromittiert ist, liegt die Bedrohung in der Cloud-gebundenen Identit\u00e4t und nicht in einem bestimmten Rechner.\u201c Deshalb m\u00fcsse die Reaktion beim Konto ansetzen. \u201eDer Speicher muss gel\u00f6scht werden. Die Anmeldedaten sollten rotiert werden. Der gesamte aktuelle Chat-Verlauf sollte auf Anzeichen von Manipulation, versteckter Logik oder manipuliertem Aufgabenablauf \u00fcberpr\u00fcft werden.\u201c<\/p>\n

Sind KI-Browser sicher?<\/h2>\n

Neben der Identifizierung der Schwachstelle behauptet LayerX<\/a>, dass ChatGPT Atlas auch nicht in der Lage sei, Phishing-Angriffe zu stoppen. In den von dem Unternehmen durchgef\u00fchrten Tests hatte ChatGPT Atlas eine Fehlerquote von \u00fcber 94 Prozent. Von den insgesamt 103 Angriffen in freier Wildbahn waren 97 erfolgreich.<\/p>\n

Auch bei anderen KI-Browsern, die das Unternehmen im vergangenen Monat getestet hatte, waren die Ergebnisse nicht gerade \u00fcberragend. Comet und Genspark von Perplexity konnten nur sieben Prozent der Phishing-Angriffe abwehren, w\u00e4hrend nur Dia von Arc Browser gegen\u00fcber 46 Prozent der Attacken resistent war. Die traditionellen Browser wie Edge und Chrome sind vergleichsweise relativ gut ausgestattet und konnten mit ihren Standardschutzfunktionen etwa 50 Prozent der Phishing-Angriffe abfangen. (jm)<\/p>\n

Lesetipp: Was CISOs beim Einsatz von GenAI beachten sollten<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Security-Forscher haben eine neue Schwachstelle entdeckt, die den ChatGPT Atlas-Browser von OpenAI betrifft. jackpress \u2013 shutterstock.com Nur wenige Tage, nachdem Cybersicherheitsanalysten davor gewarnt hatten, den neuen Atlas-Browser von OpenAI zu installieren, haben Forscher von LayerX Security eine Schwachstelle entdeckt. Die L\u00fccke soll es Angreifen erm\u00f6glichen, b\u00f6sartige Befehle direkt in den ChatGPT-Speicher der Anwender einzuschleusen und […]<\/p>\n","protected":false},"author":0,"featured_media":5603,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5602","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5602"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5602"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5602\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5603"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}