ChatGPT wurde durch Ausnutzung einer SSRF-Schwachstelle mithilfe von benutzerdefinierten GPTs gehackt

OpenAI hat eine Sicherheitslücke in seinem großen Sprachmodell ChatGPT behoben, die Anfang der Woche von einem Forscher in der Funktion „Aktionen“ der benutzerdefinierten GPTs entdeckt worden war. Angreifer hätten laut dem Forscher einen Server-Side Request Forgery (SSRF)-Fehler ausnutzen können, um internedentin der Cloud des KI-Modells offenzulegen.

Als Open-Security-Ingenieur und Bug-Hunter entwickelte SirLeeroyJenkins seinen ersten benutzerdefinierten GPT und entdeckte dabei eine SSRF-Schwachstelle. Die Aktionsfunktion ermöglicht es Benutzern, externe APIs mithilfe von OpenAPI-Schemas zu defi, die die KI dann für spezifische Aufgaben, wie beispielsweise das Abrufen von Wetterdaten, aufruft.

Beim Testen seiner eigenen API stellte SirLeeroyJenkins fest, dass das System Daten von einer vom Benutzer angegebenen URL zurückgab. Beunruhigt von diesem Verhalten führte er weitere Tests durch, da er eine mögliche SSRF-Schwachstelle vermutete.

„Als mir klar wurde, dass diese Funktion Daten von jeder beliebigen, vom Benutzer angegebenen URL abrufen konnte, erwachte mein Hackerinstinkt“, sagte er. „Ich musste auf SSRF prüfen.“

Die SSRF-Schwachstelle könnte benutzerdefinierte GPTs unsicher machen 

Wie erläuterte , handelt es sich bei Server-Side Request Forgery um eine Web-Schwachstelle, die Anwendungen dazu verleitet, Anfragen an nicht vorgesehene Ziele zu senden. Wenn die Anwendung die vom Benutzer angegebenen URLs nicht ordnungsgemäß validiert, können Angreifer die Zugriffsrechte des Servers nutzen, um auf interne Netzwerke oder Cloud-Metadatendienste zuzugreifen.

SSRF war so weit verbreitet, dass es 2021 in die OWASP Top 10 Liste aufgenommen wurde und hat sein Schadenspotenzial inzwischen noch erweitert, da unsichere Standardkonfigurationen in Cloud-Umgebungen kritische Systeme gefährden können.

Jenkins erklärte, dass es zwei Haupttypen von SSRF gibt: Full-Read- und Blind-SSRF. Full-Read-SSRF sendet Daten des Zieldienstes direkt an den Angreifer. Blind-SSRF hingegen gibt die Antwort nicht preis, ermöglicht dem Angreifer aber dennoch die Interaktion mit internen Diensten, beispielsweise durch zeitbasiertes Port-Scanning.

Er testete die Sicherheitslücke, indem er die API-URL auf den Instance Metadata Service (IMDS) von Azure verwies, der sensible Cloud-Anmeldeinformationen speichertdentDer Zugriff auf diesen Dienst erfordert normalerweise den „Metadata: True“ , daher war er alarmiert, als seine ersten Versuche den angeforderten Header nicht liefern konnten.

Die benutzerdefinierte GPT-Funktion blockierte den Exploit zunächst, da sie HTTPS-URLs erzwang, während Azure IMDS über HTTP arbeitet. Mithilfe einer 302-Weiterleitung von einem externen HTTPS-Endpunkt zur internen Metadaten-URL folgte der Server der Weiterleitung. Azure blockierte jedoch den Zugriff ohne den erforderlichen Header.

„Da der Server 302-Weiterleitungen folgte, gab er die Antwort von seiner internen Metadaten-URL zurück. Ziel erreicht, oder? Falsch. Die Antwort des Metadatendienstes zeigte an, dass ein erforderlicher Header nicht gesetzt wurde“, bemerkte SirLeeroyJenkins.

Nach weiterer Untersuchung der Antworten ermöglichte die Funktion die Verwendung benutzerdefinierter API-Schlüssel mit frei wählbaren Namen. Er versuchte, einen Schlüssel namens „Metadata“ mit dem Wert „true“, wobei der erforderliche Header eingefügt wurde, um dem GPT Zugriff auf den Metadatendienst zu gewähren.

Jenkins meldete die Sicherheitslücke umgehend an das Bugcrowd-Programm von OpenAI, woraufhin das Problem als schwerwiegend eingestuft und anschließend behoben wurde.

Er erwähnte auch, dass Open Security diese Art von SSRF-Angriffskette bereits zuvor verwendet hatte, um eine Schwachstelle in der Rechnungsgenerierungsfunktion eines großen globalen Finanzunternehmens für Sicherheitsaudits auszunutzen.

OpenAI veröffentlicht GPT-5.1 nach den Turbulenzen um Version 5.0

In anderen Neuigkeiten zu ChatGPT OpenAI die Veröffentlichung von GPT-5.1 an, das gegenüber Version 5.0 mehrere Verbesserungen zur Optimierung der Befehlsbefolgung und des adaptiven Denkens aufweist. 

„GPT-5.1 ist da! Ein gelungenes Upgrade. Besonders gut gefallen mir die Verbesserungen beim Befolgen von Anweisungen und beim adaptiven Denken. Auch die Verbesserungen bei Intelligenz und Stil sind positiv“, schrieb CEO Sam Altman am späten Mittwoch auf X.

Der Technikjournalist Mehul Gupta verglich GPT-5.1 mit seinem Vorgänger und stellte fest, dass GPT-5zwar ausgereift und hilfreich sei, einfache Aufgaben aber mitunter unnötig verkompliziere. Die Instant-Version von GPT-5.1 hingegen verfüge über ein verbessertes Verständnis und subtile adaptive Pausen, die zu kontextbezogeneren Antworten führten.

In einem Test bat Gupta beide Modelle, in sechs Wörtern zu antworten. GPT-5 versuchte, die Antwort übermäßig zu erklären, während GPT-5.1 eine prägnante und korrekte Antwort lieferte. 

Altman kündigte außerdem an, dass 7 neue Voreinstellungen hinzugefügt wurden, darunter Standard, Freundlich, Effizient, Professionell, Offen und Schrullig, aber die Benutzer können die Einstellungen auch selbst anpassen