Tenable entdeckte sieben Schwachstellen in ChatGPT. Über Prompt-Injection-Tricks können Angreifer Daten, Chats und Speicherinhalte auslesen. Einige der Schwachstellen wurden behoben, andere bestehen selbst in ChatGPT-5 fort und erfordern strengere Schutzmaßnahmen.
Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben.
Der Sicherheitsspezialist Tenable hat OpenAIs KIChatGPT genauer unter die Lupe genommen. Dabei hätten die Sicherheitsforschenden sieben kritische Sicherheitslücken identifiziert, die sowohl in ChatGPT-4o wie auch ChatGPT-5 nachgewiesen worden seien. Diese Schwachstellen, die unter dem Namen „HackedGPT“ zusammengefasst wurden, würden Benutzer Datenschutzrisiken aussetzen, indem sie integrierte Sicherheitsmechanismen umgehen. Nutzen Cyberkrimienlle die Sicherheitslücken erfolgreich aus, seien sie in der Lage, unbemerkt persönliche Daten sowie gespeicherte Chats und Erinnerungen zu stehlen.
Diese Art des Datendiebstahls bezeichnen die Experten als „Indirect Prompt Injection“. Dabei würden versteckte Anweisungen in externen Websites oder Kommentaren das KI-Modell dazu veranlassen, unbefugte Aktionen auszuführen. Betroffen seien die Web-Browsing- und Speicherfunktionen von ChatGPT, die Live-Internetdaten verarbeiten und Benutzerinformationen speichern und somit Möglichkeiten für Manipulationen und Datenlecks eröffnen würden.
1. Sicherheitslücke: Indirect Prompt Injection über vertrauenswürdige Websites
Bei der ersten von Tenable entdeckten Schwachstelle würden Angreifer Befehle in legitim erscheinenden Online-Inhalten wie Blog-Kommentaren oder öffentlichen Posts verstecken. Beim Durchsuchen dieser Inhalte befolge ChatGPT unwissentlich diese versteckten Anweisungen. ChatGPT könne so dazu gebracht werden, die Anweisungen eines Angreifers auszuführen, indem es eine kompromittierte Seite liest.
2. Sicherheitslücke: Indirect Prompt Injection ohne Klick im Suchkontext
Bei der zweiten Schwachstelle müssen Nutzer Tenable zufolge weder klicken noch irgendetwas Besonderes tun, um kompromittiert zu werden. Denn wenn ChatGPT im Internet nach Antworten sucht, kann es auf eine Seite mit verstecktem Schadcode stoßen. Einfach nur eine Frage zu stellen, könnte dazu führen, dass das Modell solche Anweisungen befolgt und private Daten preisgibt, was die Forscher als „Single-Prompt-Kompromittierung” bezeichnen.
Schon ein einziger Klick kann einen Cyberangriff auslösen. Versteckte Befehle, die in scheinbar harmlosen Links eingebettet sind, wie beispielsweise „https://chatgpt.com/?q={Prompt}“, können den Experten zufolge dazu führen, dass ChatGPT bösartige Aktionen ausführt, ohne sich dessen bewusst zu sein. Ein Klick genüge, damit ein Angreifer die Kontrolle über einen privaten Chat übernehmen könne.
4. Sicherheitslücke: Umgehung von Sicherheitsmechanismen
Normalerweise überprüft ChatGPT Links und blockiert unsichere Websites. Angreifer können laut Tenable dies umgehen, indem sie vertrauenswürdige Wrapper-URLs verwenden, wie beispielsweise „bing.com/ck/a?...“ von Bing, die das tatsächliche Ziel verbergen. Da ChatGPT diesem Wrapper vertraue, zeigt es den scheinbar sicheren Link an und könne dann zu einer bösartigen Website weitergeleitet werden.
ChatGPT nutzt zwei Systeme: SearchGPT für die Suche und ChatGPT für Konversationen. Wie die Sicherheitsforscher berichten, könnten sich Angreifer SearchGPT zunutze machen, um versteckte Anweisungen einzufügen, die ChatGPT später im Rahmen der Konversation auslese. Tatsächlich führe die KI so letztendlich eine „Prompt Injection“ bei sich selbst durch, indem sie Befehle ausführe, die der Benutzer nie geschrieben hat.
Ein Programmierfehler in der Formatierung ermögliche es Angreifern, schädliche Anweisungen in Code oder Markdown-Text von ChatGPT zu verstecken. Dem Nutzer werde so laut Tenable eine „saubere“ Nachricht angezeigt, aber ChatGPT lese dennoch den versteckten Inhalt und führe ihn aus.
Die Speicherfunktion von ChatGPT zeichnet vergangene Interaktionen auf. Angreifer könnten böswillige Anweisungen in diesem Langzeitspeicher hinterlegen, wodurch das Modell diese Befehle über mehrere Sitzungen hinweg wiederholt ausführe und kontinuierlich private Daten preisgebe, bis der Speicher geleert wird.
Tenable zufolge könnte eine erfolgreiche Ausnutzung einer dieser Schwachstellen dazu führen, dass
Cyberkriminelle versteckte Befehle in Konversationen oder Langzeitspeicher einfügen,
sensible Daten aus Chat-Verläufen oder verbundenen Diensten wie Google Drive oder Gmail abgreifen,
Informationen über Browser- und Web-Integrationen auslesen oder
Antworten manipulieren, um Fehlinformationen zu verbreiten oder Nutzer zu beeinflussen.
Das Team von Tenable Research habe seine Untersuchung nach den Grundsätzen einer verantwortungsvollen Offenlegung durchgeführt und den Hersteller darüber informiert. OpenAI habe daraufhin einige der identifizierten Schwachstellen behoben, aber einige seien weiterhin in ChatGPT-5 aktiv oder wurden zum Zeitpunkt der Veröffentlichung noch nicht behoben, sodass bestimmte Kompromittierungspfade nach wie vor offen seien. Daher empfiehlt Tenable Anbietern von KI-Lösungen, ihre Abwehrmaßnahmen gegen Prompt Injection zu verstärken, indem sie sicherstellen, dass Sicherheitsmechanismen wie „url_safe“ wie vorgesehen funktionieren, und indem sie Browsing-, Such- und Speicherfunktionen isolieren, um kontextübergreifende Angriffe zu verhindern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Weitere Empfehlungen sind:
Behandeln Sie KI-Tools als aktive Angriffsflächen und nicht als passive Assistenten.
Überprüfen und überwachen Sie KI-Integrationen auf mögliche Manipulationen oder Datenlecks.
Untersuchen Sie ungewöhnliche Anfragen oder Ausgaben, die auf Prompt Injection hindeuten könnten.
Testen und verstärken Sie die Abwehrmaßnahmen gegen Injektions- und Exfiltrationspfade.
Führen Sie Kontrollmechanismen für Governance und Datenklassifizierung im Zusammenhang mit KI-Nutzung ein.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/d2/80d2f021fd7b857615cdc90ea6ec40ff/0128893725v1.jpeg "In dieser Folge von IT ImPuls sprechen Natalie Forell und Mihriban Dincel über das brisante Thema NIS2. (Bild: Carin Böhm )")
:quality(80)/p7i.vogel.de/wcms/b0/87/b08746321b6cfef57c5bff16ab6994e2/0128603799v2.jpeg "Künstliche Intelligenz verändert Arbeitsprozesse und Kompetenzanforderungen in immer mehr Berufsgruppen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ed/4aedcc54c3302939b1296a75a80dcf02/0128867288v1.jpeg "Eine ganze Reihe neuer Gaming-Notebooks aus den Serien Raider, Stealth und Crosshair stellte MSI auf der CES in Las Vegas vor, teilweise mit Intels Panther-Lake-Prozessor. (Bild: MSI)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/2d/b0/2db024a7c100b93fe4e2183a526c4b1d/0128646643v2.jpeg "2026: KI denkt mit, handelt selbstständig – und verändert, wie wir arbeiten. (Bild: Reply)")
:quality(80)/p7i.vogel.de/wcms/9f/dd/9fdd85894bed1e083d823c08adbf0840/0128747016v2.jpeg "Das Unternehmen XGIMI präsentiert mit MemoMind seine erste KI-Brille. (Bild: © XGIMI )")
:quality(80)/p7i.vogel.de/wcms/db/b7/dbb7f1a221f31e00281e92dac2fb4e5c/0128874056v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/8a/678a22130528c/zadara-600.jpeg "zadara-600 (zadara)")
:fill(fff,0)/p7i.vogel.de/companies/68/e6/68e65d6a3bdb7/1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers.png "1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)")
:quality(80)/p7i.vogel.de/wcms/98/d0/98d0a1fbfcf297fea40510e5c5ebec35/0125506762v2.jpeg "Ein in freier Wildbahn entdecktes Malware-Sample enthält eine versteckte Prompt Injection – gezielt platziert, um KI-basierte Sicherheitsanalysen zu unterlaufen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/24/7324403aade64f14c279a71e48c35eb1/0122709916v2.jpeg "Dieser Artikel zeigt wesentliche Aspekte und Ansatzpunkte für eine richtlinienkonforme und sichere Entwicklung von KI-Anwendungen auf. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/41/f9414ce31e8109abe69fe576bf3bfdcb/0125224403v2.jpeg "Sicherheitsforschern ist es gelungen, einen Exploit zu entwickeln, der einen Designfehler in kontextbasierten Large Language Models ausnutzt. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9c/799cae5181bf57d0d03146266f0d7a4b/0125891773v2.jpeg "Cyberkriminelle missbrauchen echte LLM-Tools, unzensierte Sprachmodelle und entwickeln sogar eigene KI-Modelle, um Cyberangriffe zu verbessern. (Bild: Benjamin - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/ca/d9ca10c14ad3318723d5e0781475f3c0/0125540345v1.jpeg "Paket-Halluzinationen verbreiten sich wie Lauffeuer durch KI-gestützte Autovervollständigung von Code, durch gefälschte Tutorials und KI-generierte, wiederverwendbare Code-Snippets. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/d1/abd13c198ea79dcb5523a529d9aa3f46/0122696219v2.jpeg "Die Implementierung von LLMs birgt Gefahren, aber es gibt effektive Strategien, um sowohl interne als auch externe Risiken zu reduzieren. (Bild: scaliger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/69/7b6994c4f26dc5077fa985d8092bbbc7/0118038240.jpeg "Die OWASP Machine Learning Security Top Ten analysiert die häufigsten Schwachstellen im Zusammenhang mit ML. (Bild: Aghavni - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/a7/d3a7e2e172c47f5b9fee4e823bb28873/0127619796v2.jpeg "Nicht nur warnen die Sicherheitsforscher von LayerxSecurity vor einer CSRF-Schwachstelle im persistenten Speicher von ChatGPT Atlas. Sie warnen auch davor, dass der Browser von OpenAI kaum Schutz vor Phishing bietet. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5e/26/5e26172f43a1356ee4220f77157bb57d/0123816971v2.jpeg "Die Einführung von generativer KI (GenAI) in Unternehmen führt zu neuen Risiken – intern durch die stark steigende Vernetzung durch APIs und fehlerhafte Bedienung, extern durch neuartige Angriffsmöglichkeiten für Cyberkriminelle. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/05/38/05380b0e155a951d204857cff66fc9c6/0125224403v1.jpeg "Sicherheitsforschern ist es gelungen, einen Exploit zu entwickeln, der einen Designfehler in kontextbasierten Large Language Models ausnutzt. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/46/954646c31b77dba5388a3161f6305b1c/0125282828v2.jpeg "KI ist in aller Munde, aber auch in vielen Händen: Cyberkriminelle greifen immer häufiger auf KI zurück und erstellen mit LLMs täuschend echte Phishing-Mails oder Deepfakes. (Bild: Midjourney / KI-generiert)")