AgentFlayer 0-Klick-Exploit missbraucht ChatGPT-Konnektoren, um Daten von Drittanbieter-Apps zu stehlen

AgentFlayer ist eine kritische Schwachstelle in ChatGPT Connectors. Erfahren Sie, wie dieser Zero-Click-Angriff indirekte Prompt-Injection nutzt, um heimlich und ohne Ihr Wissen vertrauliche Daten aus Ihrem verbundenen Google Drive, SharePoint und anderen Apps zu stehlen.

Eine neue Sicherheitslücke namens AgentFlayer wurde aufgedeckt. Sie zeigt, wie Angreifer heimlich persönliche Informationen aus verbundenen Benutzerkonten wie Google Drive stehlen können, ohne dass der Benutzer auch nur einen Klick darauf macht. Die Sicherheitslücke wurde von Cybersicherheitsforschern bei Zenity entdeckt und auf der jüngsten Black Hat-Konferenz vorgestellt.

Laut Zenitys Untersuchungen nutzt der Fehler eine Funktion von ChatGPT namens „Connectors“, die es der KI ermöglicht, Verbindungen zu externen Anwendungen wie Google Drive und SharePoint herzustellen. Diese Funktion soll zwar hilfreich sein, indem sie ChatGPT beispielsweise ermöglicht, Dokumente aus den Dateien Ihres Unternehmens zusammenzufassen, Zenity stellte jedoch fest, dass sie auch einen neuen Weg für Hacker eröffnen kann.

Der AgentFlayer-Angriff funktioniert über eine clevere Methode namens „Indirekte Eingabeaufforderung“ . Anstatt einen bösartigen Befehl direkt einzugeben, bettet der Angreifer eine versteckte Anweisung in ein harmlos aussehendes Dokument ein. Dies kann sogar mit Text in einer winzigen, unsichtbaren Schriftart geschehen.

Der Angreifer wartet dann darauf, dass ein Benutzer dieses manipulierte Dokument auf ChatGPT hochlädt. Wenn der Benutzer die KI bittet, das Dokument zusammenzufassen, weisen die versteckten Anweisungen ChatGPT an, die Anfrage des Benutzers zu ignorieren und stattdessen eine andere Aktion auszuführen. Beispielsweise könnten die versteckten Anweisungen ChatGPT anweisen, das Google Drive des Benutzers nach vertraulichen Informationen wie API-Schlüsseln zu durchsuchen.

Die gestohlenen Informationen werden dann auf äußerst subtile Weise an den Angreifer übermittelt. Der Angreifer weist ChatGPT an, ein Bild mit einem speziellen Link zu erstellen. Wenn die KI dieses Bild anzeigt, sendet der Link die gestohlenen Daten heimlich an einen vom Angreifer kontrollierten Server. All dies geschieht ohne das Wissen des Benutzers und ohne dass dieser etwas anklicken muss.

Die Untersuchungen von Zenity zeigen, dass OpenAI zwar über einige Sicherheitsmaßnahmen verfügt, diese jedoch nicht ausreichen, um diese Art von Angriffen zu stoppen. Forscher konnten diese Sicherheitsvorkehrungen umgehen, indem sie bestimmte Bild-URLs verwendeten, denen ChatGPT vertraute.

Diese Sicherheitslücke ist Teil einer größeren Klasse von Bedrohungen, die die Risiken der Verbindung von KI-Modellen mit Apps von Drittanbietern verdeutlichen. Itay Ravia , Leiter von Aim Labs, bestätigte dies und erklärte, dass solche Sicherheitslücken keine Einzelfälle seien und dass wahrscheinlich mehr davon in gängigen KI-Produkten auftreten würden.

„Wie wir in unserer ursprünglichen Untersuchung, EchoLeak (CVE-2025-32711) , die Aim Labs am 11. Juni öffentlich bekannt gab, gewarnt haben, handelt es sich bei dieser Art von Sicherheitslücke nicht um einen Einzelfall, auch andere Agentenplattformen sind anfällig “ , erklärte Ravia.

„Der Zero-Click-Angriff von AgentFlayer ist eine Teilmenge der gleichen EchoLeak-Primitive. Diese Schwachstellen sind inhärent, und wir werden mehr davon in gängigen Agenten sehen, da die Abhängigkeiten und die Notwendigkeit von Schutzmaßnahmen unzureichend verstanden werden“, kommentierte Ravia und betonte, dass fortschrittliche Sicherheitsmaßnahmen erforderlich seien, um sich gegen diese Art von ausgeklügelten Manipulationen zu verteidigen.