ChatGPT-Sicherheit: OpenAI schließt kritische Path-Traversal-Lücke
03.07.2026 - 23:29:29 | boerse-global.de
OpenAI hat am heutigen Freitag eine kritische Schwachstelle im ChatGPT-Dateiinterpreter geschlossen. Der Sicherheitsforscher zer0dac entdeckte eine sogenannte Path-Traversal-Lücke, die es ermöglichte, die Sandbox-Umgebung zu umgehen. Durch gezielte Prompt-Manipulationen ließen sich Systemdateien wie /etc/passwd auslesen. OpenAI hat den Download-Prozess daraufhin neu gestaltet. Das Unternehmen betont, dass die Schwachstelle auf die Sandbox beschränkt war und keine massiven Datenlecks verursachte.
Browser-Angriffe und Prompt-Injection
Bereits Ende Juni hatte die Sicherheitsfirma LayerX alarmierende Forschungsergebnisse vorgelegt. Demnach lassen sich sechs KI-integrierte Browser manipulieren, um Benutzerkonten zu kapern. Die Forscher nutzten eine Technik, die an Spiele-Logik angelehnt ist, um Systeme zur Preisgabe von Authentifizierungsdaten zu bewegen. OpenAI konnte seinen Atlas-Browser zwar erfolgreich schützen, doch andere Anbieter gelten weiterhin als verwundbar.
Neue Schutzplattformen für Unternehmen
Mehrere Technologieunternehmen haben Anfang Juli spezielle Sicherheitsplattformen auf den Markt gebracht. Am 2. Juli 2026 launchte iboss eine kostenlose AI Security Platform, die Unternehmen Echtzeit-Einblicke in die Nutzung von Tools wie ChatGPT, Claude und Gemini gewährt. Die Plattform verfolgt Prompts und Sitzungen, um Datenlecks zu verhindern. „Sichtbarkeit ist die Grundvoraussetzung für KI-Sicherheit“, so die Unternehmensführung.
Der Einsatz von Tools wie ChatGPT bringt neue Sicherheitsrisiken und rechtliche Pflichten mit sich, die viele Unternehmen noch nicht vollständig überblicken. Dieser kostenlose Praxis-Leitfaden hilft Ihnen, die Anforderungen der EU-KI-Verordnung zu verstehen und Ihre Compliance-Strategie anzupassen. Fristen, Pflichten und Risikoklassen des EU AI Act kompakt erklärt
Parallel dazu veröffentlichte Proton Lumo 2.0, eine Browser-Erweiterung speziell für ChatGPT-Nutzer. Das Tool verschlüsselt Prompts lokal, bevor sie übertragen werden. Ziel ist es, die Erstellung von Nutzerprofilen und das Durchsickern von Metadaten zu verhindern. Diese Entwicklung fällt mit Microsofts jüngstem Update seines Defender-Dienstes zusammen, das lokale KI-Agenten schützt und ein neues Scansystem zur Erkennung von Schwachstellen in agentischen Modellen einführt.
Geistiges Eigentum in Gefahr
Experten warnen seit heute eindringlich davor, sensible Geschäftsinformationen in öffentliche Chatbots einzugeben. Der entscheidende Unterschied: Bei Privatkonten können Daten standardmäßig für das Modelltraining verwendet werden. Enterprise-Versionen hingegen erfordern eine ausdrückliche Zustimmung.
Rechtsanalysten weisen darauf hin, dass die Preisgabe von „Geheimrezepten“ oder proprietären Prozessen in Verbraucher-KI-Tools den Schutz von Geschäftsgeheimnissen gefährden kann. Zudem könnten unbeabsichtigt Ein-Jahres-Fristen für Patentanmeldungen ausgelöst werden. Unternehmen wird daher empfohlen, geschäftsspezifische Konfigurationen zu nutzen, Prompts zu anonymisieren und interne KI-Richtlinien zu etablieren.
Werden sensible Firmendaten in KI-Tools eingegeben, kann dies den rechtlichen Schutz von Geschäftsgeheimnissen gefährden. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie Ihre Betriebsgeheimnisse durch rechtssichere Verschwiegenheitsvereinbarungen und korrekte Formulierungen wirksam absichern. Kostenlose NDA-Vorlagen und Experten-Tipps anfordern
Alternativen zum GPT-Marktplatz
Das Ökosystem für benutzerdefinierte KI-Agenten wandelt sich. Entwickler suchen zunehmend nach Alternativen zu OpenAIs Custom GPTs. SKILL.md etwa lockt mit Umsatzbeteiligungen von bis zu 70 Prozent und größerer Portabilität zwischen verschiedenen KI-Modellen wie Claude und Cursor. Kritiker des offiziellen GPT-Stores bemängeln vor allem die schlechte Auffindbarkeit und das Fehlen von Umsatzbeteiligungsmodellen.
Für Unternehmen, die maximale Datenkontrolle benötigen, gibt es seit dem 2. Juli 2026 neue Anleitungen zum Selbsthosten von ChatGPT-Alternativen. Mit Open WebUI und NanoGPT lassen sich eigene Modelle und Datenverarbeitung in der firmeneigenen Infrastruktur betreiben – ohne die Datenschutzbedenken zentraler Cloud-Dienste.
