OpenAI betont, dass ChatGPTs Code-Execution-Umgebung keine ausgehenden Netzwerkverbindungen herstellen kann. Check Point Research hat gezeigt, dass das nicht stimmte — zumindest nicht vollständig.
Der DNS-Seitenkanal
Die Schwachstelle nutzte das Domain Name System (DNS) als versteckten Exfiltrationskanal. Während OpenAI ausgehenden HTTP-Traffic blockierte, gab es keine Kontrolle über DNS-Anfragen. Ein einzelner bösartiger Prompt konnte die Schutzmaßnahmen umgehen und Daten an einen externen Server senden.
Das Tückische: ChatGPT selbst erkannte das Verhalten nicht als Datenübertragung. Auf Nachfrage, ob Daten hochgeladen wurden, antwortete das Modell, dass die Datei nur an einem sicheren internen Ort gespeichert sei.
Proof of Concept
Check Point demonstrierte den Angriff anhand eines "GPT" (einer Drittanbieter-App auf ChatGPT-Basis), das als persönlicher Gesundheitsanalyst fungierte. Ein Nutzer lud ein PDF mit Laborergebnissen und persönlichen Daten hoch. Die App analysierte die Daten korrekt — und übermittelte sie gleichzeitig an einen vom Angreifer kontrollierten Server, ohne dass der Nutzer oder das Modell es bemerkte.
Implikationen
Für regulierte Branchen (Gesundheitswesen, Finanzen) sind solche Schwachstellen kritisch. Ein KI-Service, der unbemerkt Patientendaten oder Finanzdaten leakt, kann DSGVO-Verstösse, HIPAA-Breaches oder aufsichtsrechtliche Konsequenzen auslösen.
OpenAI hat die Schwachstelle im Februar 2026 gepatcht. Details zur Behebung wurden nicht veröffentlicht.
Quellen: Check Point Research Blog (30.03.2026), The Register.