Schockierende SSRF-Lücke in ChatGPTs Custom GPT entdeckt – Sicherheitsrisiko aufgedeckt!

Ein Forscher hat eine kritische Server-Side Request Forgery (SSRF)-Schwachstelle in ChatGPTs benutzerdefinierten GPT-Modellen aufgedeckt. Diese Sicherheitslücke könnte Angreifern Zugriff auf interne Systeme ermöglichen – ein Albtraum für Unternehmen, die auf KI setzen.

Wie funktioniert die Schwachstelle? Die SSRF-Lücke erlaubt es, Anfragen an interne Ressourcen zu senden, die eigentlich nicht zugänglich sein sollten. Ein gefundenes Fressen für Hacker, die nach sensiblen Daten suchen.

Und während Tech-Konzerne Millionen in „sichere“ KI investieren, zeigt dieser Fund mal wieder: Blockchain wäre hier vielleicht die bessere Wahl – zumindest würde niemand heimlich die Regeln ändern.

Die SSRF-Schwachstelle könnte benutzerdefinierte GPTs unsicher machen 

Wie erläuterte , handelt es sich bei Server-Side Request Forgery um eine Web-Schwachstelle, die Anwendungen dazu verleitet, Anfragen an nicht vorgesehene Ziele zu senden. Wenn die Anwendung die vom Benutzer angegebenen URLs nicht ordnungsgemäß validiert, können Angreifer die Zugriffsrechte des Servers nutzen, um auf interne Netzwerke oder Cloud-Metadatendienste zuzugreifen.

SSRF war so weit verbreitet, dass es 2021 in die OWASP Top 10 Liste aufgenommen wurde und hat sein Schadenspotenzial inzwischen noch erweitert, da unsichere Standardkonfigurationen in Cloud-Umgebungen kritische Systeme gefährden können.

Jenkins erklärte, dass es zwei Haupttypen von SSRF gibt: Full-Read- und Blind-SSRF. Full-Read-SSRF sendet Daten des Zieldienstes direkt an den Angreifer. Blind-SSRF hingegen gibt die Antwort nicht preis, ermöglicht dem Angreifer aber dennoch die Interaktion mit internen Diensten, beispielsweise durch zeitbasiertes Port-Scanning.

Er testete die Sicherheitslücke, indem er die API-URL auf den Instance Metadata Service (IMDS) von Azure verwies, der sensible Cloud-Anmeldeinformationen speichert dent Der Zugriff auf diesen Dienst erfordert normalerweise den „Metadata: True“ , daher war er alarmiert, als seine ersten Versuche den angeforderten Header nicht liefern konnten.

Die benutzerdefinierte GPT-Funktion blockierte den Exploit zunächst, da sie HTTPS-URLs erzwang, während Azure IMDS über HTTP arbeitet. Mithilfe einer 302-Weiterleitung von einem externen HTTPS-Endpunkt zur internen Metadaten-URL folgte der Server der Weiterleitung. Azure blockierte jedoch den Zugriff ohne den erforderlichen Header.

„Da der Server 302-Weiterleitungen folgte, gab er die Antwort von seiner internen Metadaten-URL zurück. Ziel erreicht, oder? Falsch. Die Antwort des Metadatendienstes zeigte an, dass ein erforderlicher Header nicht gesetzt wurde“, bemerkte SirLeeroyJenkins.

Nach weiterer Untersuchung der Antworten ermöglichte die Funktion die Verwendung benutzerdefinierter API-Schlüssel mit frei wählbaren Namen. Er versuchte, einen Schlüssel namens „Metadata“ mit dem Wert „true“ , wobei der erforderliche Header eingefügt wurde, um dem GPT Zugriff auf den Metadatendienst zu gewähren.

Jenkins meldete die Sicherheitslücke umgehend an das Bugcrowd-Programm von OpenAI, woraufhin das Problem als schwerwiegend eingestuft und anschließend behoben wurde.

Er erwähnte auch, dass Open Security diese Art von SSRF-Angriffskette bereits zuvor verwendet hatte, um eine Schwachstelle in der Rechnungsgenerierungsfunktion eines großen globalen Finanzunternehmens für Sicherheitsaudits auszunutzen.

OpenAI veröffentlicht GPT-5.1 nach den Turbulenzen um Version 5.0

In anderen Neuigkeiten zu ChatGPT OpenAI die Veröffentlichung von GPT-5.1 an, das gegenüber Version 5.0 mehrere Verbesserungen zur Optimierung der Befehlsbefolgung und des adaptiven Denkens aufweist.

„GPT-5.1 ist da! Ein gelungenes Upgrade. Besonders gut gefallen mir die Verbesserungen beim Befolgen von Anweisungen und beim adaptiven Denken. Auch die Verbesserungen bei Intelligenz und Stil sind positiv“, schrieb CEO Sam Altman am späten Mittwoch auf X.

Der Technikjournalist Mehul Gupta verglich GPT-5.1 mit seinem Vorgänger und stellte fest, dass GPT-5 zwar ausgereift und hilfreich sei, einfache Aufgaben aber mitunter unnötig verkompliziere. Die Instant-Version von GPT-5.1 hingegen verfüge über ein verbessertes Verständnis und subtile adaptive Pausen, die zu kontextbezogeneren Antworten führten.

In einem Test bat Gupta beide Modelle, in sechs Wörtern zu antworten. GPT-5 versuchte, die Antwort übermäßig zu erklären, während GPT-5.1 eine prägnante und korrekte Antwort lieferte. 

Altman kündigte außerdem an, dass 7 neue Voreinstellungen hinzugefügt wurden, darunter Standard, Freundlich, Effizient, Professionell, Offen und Schrullig, aber die Benutzer können die Einstellungen auch selbst anpassen.

Wenn Sie dies lesen, sind Sie schon auf dem Laufenden. Bleiben Sie mit unserem Newsletter auf dem Laufenden .