Die Langzeitgedächtnisfunktion von ChatGPT ist eine neue Funktion, die von OpenAI im Februar 2024 eingeführt und im September erweitert wurde.

Kürzlich hat der Sicherheitsforscher Johann Rehberger eine schwerwiegende Sicherheitslücke im Zusammenhang mit dieser Funktion aufgedeckt.

Es ist bekannt, dass diese neue Funktion Chatbots dabei hilft, Informationen aus früheren Gesprächen zu speichern. Dadurch müssen Benutzer Informationen wie Alter, Interessen oder persönliche Ansichten nicht bei jedem Chat erneut eingeben. Dies ist jedoch zu einer Schwachstelle geworden, die Angreifer ausnutzen können.

Johann Rehberger zeigte, dass Hacker eine Technik namens „Prompt Injection“ verwenden könnten – das Einfügen bösartiger Anweisungen in den Speicher, die die KI zum Befolgen zwingen. Diese Befehle werden über nicht vertrauenswürdige Inhalte wie E-Mails, Dokumente oder Webseiten eingeschleust.

Sobald diese gefälschten Erinnerungen gespeichert sind, verwendet die KI sie in Gesprächen mit Benutzern weiterhin als echte Informationen. Dies kann zu einer unbefugten Erfassung und Verwendung personenbezogener Daten der Benutzer führen.

Rehberger lieferte ein konkretes Beispiel, indem er einen Link mit einem schädlichen Bild schickte, das dazu führte, dass ChatGPT eine falsche Erinnerung speicherte. Diese Informationen beeinflussen später die Antworten von ChatGPT. Insbesondere werden auch alle vom Benutzer eingegebenen Informationen an den Server des Hackers gesendet.

Um den Angriff auszulösen, müssen Hacker die ChatGPT-Benutzer dementsprechend lediglich dazu bringen, auf einen Link mit einem schädlichen Bild zu klicken. Dann werden alle Benutzergespräche mit ChatGPT auf den Server des Angreifers umgeleitet, ohne Spuren zu hinterlassen.

Nachdem Rehberger den Fehler im Mai 2024 entdeckt hatte, meldete er ihn OpenAi, das Unternehmen betrachtete ihn jedoch nur als Sicherheitsfehler. Nachdem das Unternehmen Hinweise auf einen möglichen Diebstahl von Benutzerdaten erhalten hatte, veröffentlichte es einen temporären Patch für die Webversion von ChatGPT.

Obwohl das Problem vorübergehend behoben wurde, betonte Rehberger, dass nicht vertrauenswürdige Inhalte weiterhin Prompt-Injection verwenden können, um falsche Informationen in das Langzeitgedächtnis von ChatGPT einzufügen. Dies bedeutet, dass Hacker in bestimmten Fällen die Sicherheitslücke immer noch ausnutzen könnten, um schädliche Erinnerungen zu speichern und so langfristig persönliche Informationen zu stehlen.

OpenAI empfiehlt Benutzern, den zwischengespeicherten Speicher von ChatGPT regelmäßig auf Fehlalarme zu überprüfen. Gleichzeitig stellt das Unternehmen auch detaillierte Anweisungen zum Verwalten und Löschen der in diesem Tool gespeicherten Erinnerungen bereit.