Eine schwerwiegende Sicherheitslücke im „Deep Research“-Modus von ChatGPT erlaubte Angreifern, sensible Daten wie Namen und Adressen aus Gmail-Konten unbemerkt abzugreifen. Die Schwachstelle, von Radware-Forschern als „ShadowLeak“ bezeichnet, wurde über manipulierte E-Mails ausgenutzt, die versteckte HTML-Anweisungen enthielten. Diese veranlassten den Agenten, Daten an externe Server zu senden, ohne dass Nutzer etwas bemerkten. Der Angriff lief serverseitig über OpenAIs Infrastruktur, wodurch lokale Sicherheitsmaßnahmen wie Firewalls wirkungslos blieben.
Die Schwachstelle betraf den seit Februar 2025 verfügbaren „Deep Research“-Modus, der automatisierte Analysen von E-Mails, Webseiten und Dokumenten ermöglicht. Angreifer nutzten Social-Engineering-Techniken, um den Agenten zu täuschen, und kodierten Daten in Base64, um sie getarnt weiterzuleiten. Betroffene Plattformen umfassen Dienste wie Gmail, Google Drive, Outlook und Teams. Radware meldete die Lücke im Juni 2025, OpenAI bestätigte deren Behebung im September.
Die Entdeckung unterstreicht die Anfälligkeit agentischer KI-Systeme für Prompt-Injection-Angriffe, bei denen einfache Textanweisungen schwere Sicherheitsverletzungen verursachen können. Studien zeigen, dass KI-Agenten mit Internetzugang besonders gefährdet sind. Experten warnen vor dem Einsatz solcher Systeme für sensible Aufgaben, da selbst einfache Manipulationen zu Datenlecks oder anderen Schäden führen können.
