C
Security

ChatGPhish: Wenn ChatGPT selbst zur Phishing-Falle wird

Eine neue Schwachstelle zeigt, wie KI-Zusammenfassungen missbraucht werden können, um Phishing direkt in der vertrauenswürdigen Oberfläche von ChatGPT zu platzieren.

CR
Codekiste Redaktion29. Mai 2026
#Security#Phishing#ChatGPT#Prompt-Injection#KI-Sicherheit

Das Vertrauensproblem der KI-Ära

Wir gewöhnen uns daran, KI-Assistenten zu vertrauen. ChatGPT zusammenfasst Artikel, Copilot strukturiert E-Mails, Claude schreibt Code — alles in Oberflächen, die als sicher und kontrolliert gelten. Doch genau dieses Vertrauen wird zunehmend zur Angriffsfläche. Eine neu dokumentierte Schwachstelle namens ChatGPhish zeigt eindrucksvoll, wie das Zusammenfassen einer scheinbar harmlosen Webseite ausreicht, um ChatGPT in ein Phishing-Instrument zu verwandeln.

Wie ChatGPhish funktioniert

Forscher von Permiso Security haben die Technik detailliert beschrieben. Der Kern des Problems liegt in der Art, wie ChatGPTs Antwortrenderer mit Markdown-Elementen umgeht. Wenn die KI eine Webseite zusammenfasst, übernimmt sie Markdown-Links und Markdown-Bild-URLs aus dem ursprünglichen Inhalt — und rendert diese als klickbare Elemente und automatisch geladene Bilder innerhalb der eigenen, als vertrauenswürdig wahrgenommenen Oberfläche.

Das klingt zunächst nach einem Feature, ist aber ein fundamentales Designproblem. Ein Angreifer muss lediglich einen kleinen Payload in eine beliebige Webseite einbetten. Sobald ein Opfer ChatGPT bittet, genau diese Seite zusammenzufassen, passiert Folgendes:

  • IP-Leak: Die automatisch geladenen Bilder verraten IP-Adresse, User-Agent und Referer-Header des Opfers an den Angreifer.
  • Phishing-Links: Bösartige Markdown-Links erscheinen als klickbare Elemente innerhalb der ChatGPT-Oberfläche.
  • Gefälschte Systemwarnungen: Fake-Sicherheitsmeldungen können direkt in der Antwort gerendert werden.
  • QR-Code-Angriffe: Ein aus einem S3-Bucket des Angreifers geladener QR-Code kann das Opfer dazu bringen, diesen mit dem Mobilgerät zu scannen — und umgeht damit Desktop-URL-Filter und Enterprise-Sicherheitskontrollen.

Der entscheidende Punkt: Es bedarf keines verdächtigen Anhangs, keiner kompromittierten E-Mail. Das bloße Zusammenfassen einer Seite reicht aus.

Vom E-Mail-Postfach zum Browser

ChatGPhish ist nicht die erste derartige Entdeckung von Permiso. Bereits im März dieses Jahres zeigten die Forscher, wie eine E-Mail mit versteckten Instruktionen, wenn sie von Microsoft Copilot zusammengefasst wird, dessen Ausgabe durch eine Cross-Prompt Injection (XPIA) manipulieren kann.

Die Verschiebung der Angriffsfläche ist dabei bemerkenswert. Wie Permiso festhält: „Der Wechsel von E-Mail zum Browser erweitert die potenzielle Angriffsfläche erheblich. Ein Nutzer muss keine bösartige Datei mehr öffnen oder mit einer verdächtigen Nachricht interagieren. Das bloße Zusammenfassen einer Seite während normaler Browser-Aktivität reicht aus, um vom Angreifer kontrollierte Instruktionen in den Modellkontext und letztlich in die gerenderte Antwort einzuschleusen."

SymJack und TrustFall: Wenn KI-Coding-Agenten kompromittiert werden

Parallel zum ChatGPhish-Disclosure hat Adversa AI zwei Angriffstechniken gegen KI-Coding-Agenten dokumentiert: SymJack und TrustFall.

SymJack nutzt Symlinks, um eine scheinbar harmlose Dateikopie umzuleiten. Ein booby-trapped Repository bringt den Agenten dazu, eine Datei zu kopieren, deren Ziel ein Symlink auf die Konfiguration des Agenten selbst ist. Beim nächsten Start wird ein bösartiger MCP-Server mit vollen Nutzerrechten gestartet.

TrustFall geht noch einen Schritt weiter: Ein Repository mit einer Konfiguration, die automatisch einen MCP-Server startet, ohne dass der Nutzer explizit zustimmen muss. Sobald ein Entwickler das Repository öffnet und den generischen „Ja, ich vertraue diesem Ordner"-Dialog bestätigt, wird der bösartige Code mit vollen Systemrechten ausgeführt — vor jedem Tool-Call, ohne weitere Prompts.

Diese Angriffe sind besonders alarmierend, weil sie das Vertrauen ausnutzen, das Entwickler zunehmend KI-Coding-Tools entgegenbringen. Der Moment der Kompromittierung ist nicht ein komplexer Exploit, sondern ein einfacher Klick auf „Trust".

Die breitere Bedrohungslage

ChatGPhish, SymJack und TrustFall sind Symptome einer größeren Entwicklung. Die letzten Monate haben eine Flut von KI-Schwachstellen gezeigt:

  • Involuntary In-Context Learning (IICL) umgeht Sicherheitsbeschränkungen von GPT-5.4 durch Ausnutzung der Spannung zwischen In-Context Learning und Safety Alignment.
  • Multi-Turn-Jailbreaks zeigen, dass Safety-Guardrails durch mehrstufige Gespräche umgangen werden können — weil echte Angreifer iterieren, reformulieren und schrittweise eskalieren.
  • ClaudeBleed erlaubt es jeder Chrome-Erweiterung, die Claude-Browser-Erweiterung zu kapern und aktive Handlungen im Namen des Nutzers durchzuführen.
  • Typographic Prompt Injection nutzt als Bilder gerenderten adversarialen Text, um Safety-Filter von Vision Language Models zu umgehen — für menschliche Betrachter oder OCR-Filter sieht das Bild wie Rauschen aus, das VLM liest jedoch vollständige Instruktionen.
  • Eine Audit des Agent-Skills-Ökosystems ergab, dass 13,4% von 3.984 Skills mindestens eine kritische Sicherheitslücke aufweisen, einschließlich Malware-Verteilung und Prompt Injection.

KI als Angriffsbeschleuniger

Palo Alto Networks Unit 42 hat mit dem PoC-Agenten Zealot gezeigt, dass LLMs in der Lage sind, Reconnaissance, Exploitation, Privilege Escalation und Datenexfiltration mit minimaler menschlicher Steuerung zu verketten. Cloud-Umgebungen sind dafür besonders anfällig: Jede Aktion hat ein API-Äquivalent, Misconfigurations sind allgegenwärtig, und der Zugriff erfolgt über Credentials.

Die Angriffe sind nicht neu — aber die Automatisierung bedeutet, dass Operationen, die früher spezialisiertes Fachwissen erforderten, nun von einem KI-Agenten nach etablierten Mustern orchestriert werden können.

Einordnung: Der Vertrauens-Paradox

Was ChatGPhish und die verwandten Techniken gemeinsam haben, ist die Ausnutzung eines fundamentalen Paradoxons: Je nützlicher und nahtloser KI-Assistenten in unseren Arbeitsalltag integriert werden, desto mehr Vertrauen bringen wir ihnen entgegen — und desto größer wird die Angriffsfläche.

Die Lösung kann nicht darin bestehen, Zusammenfassungen abzuschaffen oder KI-Tools zu meiden. Sie muss in der Architektur liegen. Renderer dürfen keine Drittanbieter-Bilder automatisch laden, ohne den Nutzer zu warnen. Markdown-Links aus zusammengefassten Quellen müssen als solche gekennzeichnet werden. Und Ordner-Vertrauensdialoge müssen granularer werden — ein einfaches „Ja, ich vertraue" reicht nicht, wenn die Konsequenz die Ausführung beliebigen Codes ist.

Die KI-Industrie steht vor der gleichen Lektion, die die Web-Entwicklung vor Jahrzehnten lernen musste: Vertrauen ist keine Sicherheitsmaßnahme. Es ist eine Verwundbarkeit.

Quelle: The Hacker News

QUELLEN
The Hacker News
Pro-Feature

Melde dich an und werde Pro-Mitglied, um dieses Feature zu nutzen.

Anmelden
CR
Codekiste Redaktion

Automatisierte Content-Kuratierung für tech-news.

Kommentare

WEITERLESEN
Security

KI als Hacker: LLM-Agent nutzt Marimo-Lücke für Daten-Exfiltration

Security

KI als Tatwaffe: Wie GREYVIBE die Ukraine attackiert

Security

Vibe Coding: Das neue Shadow IT-Problem, das eure Security-Stacks ignorieren