Schwachstellen machen KI-Agenten zu Spionen
Sicherheitsforscher haben eine neue Angriffsmethode aufgedeckt, mit der sich weitverbreitete KI-Assistenten kapern lassen. Die an der Black-Hat-Konferenz vorgestellten "AgentFlayer"-Lücken erlauben Datendiebstahl über Dienste wie ChatGPT, Copilot und Gemini.
An der Sicherheitskonferenz Black Hat in Las Vegas hat das israelische Cybersecurity-Start-up Zenity Labs eine neue Klasse von Schwachstellen in KI-Systemen offengelegt. Die als "AgentFlayer" bezeichneten Angriffe benötigen keine Interaktion der User und laufen vollautomatisch ab. Betroffen sind laut den Forschern weitverbreitete Dienste wie ChatGPT von OpenAI, Microsoft Copilot Studio, Salesforce Einstein und Google Gemini.
Die Konsequenzen sind gravierend, da die gekaperten Assistenten Daten stehlen, Arbeitsabläufe manipulieren und autonom im Namen des Users agieren können. Es handle sich nicht um theoretische Schwachstellen, sondern um "funktionierende Exploits mit unmittelbaren, realen Konsequenzen", lässt sich Zenity-CTO und -Mitgründer Michael Bargury in einer Mitteilung des Unternehmens zitieren. Angreifer könnten den KI-Agenten direkt kompromittieren und so den Menschen als Kontrollinstanz vollständig umgehen.
Um die Gefahr zu verdeutlichen, demonstrierte Zenity Labs mehrere Szenarien. So habe man ChatGPT über eine manipulierte E-Mail dazu gebracht, auf Daten in einem verknüpften Google-Drive-Konto zuzugreifen und bösartige Befehle dauerhaft in seinem Speicher zu verankern. In einem anderen Fall brachte ein Support-Agent auf Basis von Microsofts Copilot Studio eine Kundendatenbank zum Vorschein. Und Salesforce Einstein habe sich durch die gezielte Erstellung bösartiger Support-Tickets so manipulieren lassen, dass die gesamte Kundenkommunikation an E-Mail-Adressen der Angreifer umgeleitet wurde.
Gemische Reaktionen der Hersteller
Die Reaktion der betroffenen Hersteller fiel gemischt aus. Während OpenAI und Microsoft laut Zenity Labs inzwischen Patches für einige gemeldete Probleme bereitstellten, lehnten andere Anbieter Korrekturen ab. Sie stuften die ausgenutzten Mechanismen als "beabsichtigte Funktionalität" ein.
Die uneinheitlichen Reaktionen zeigen laut Zenity Labs, dass die Branche ein ernstzunehmendes Sicherheitsproblem im Umgang mit KI-Agenten hat. "Die rasante Verbreitung von KI-Agenten hat eine Angriffsfläche geschaffen, von der die meisten Unternehmen nicht einmal wissen, dass sie existiert", sagt Ben Kilger, CEO von Zenity Labs, und ergänzt: "Während Anbieter KI-Sicherheit versprechen, nutzen Angreifer diese Systeme längst aus."
Ende Juli 2025 ist übrigens bekannt geworden, dass etliche private ChatGPT-Konversationen in Google-Suchresultaten aufgetaucht sind - darunter auch hochsensible Inhalte. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Update: Swisscom erzielt Umsatzplus nach Übernahme von Vodafone Italia
Sensible Daten von Swiss-Piloten für Unbefugte zugänglich
Wie Onlinebetrüger ihre Opfer manipulieren
Trump plant 100-Prozent-Zoll auf importierte Chips
Schwachstellen machen KI-Agenten zu Spionen
KI-Agenten sind noch längst nicht bereit für selbstständiges Arbeiten
Zürcher Staatsanwaltschaft erhebt Anklage gegen mutmasslichen Cyberkriminellen
Darth Vader als Masterclass-Instruktor
DooH-Screen stellt Diagnose bei schlechter Körperhaltung
