Radware entdeckt gefährliche „ZombieAgent“-Schwachstelle in ChatGPT

Ein neuer, tückischer Angriff auf KI-Assistenten erfordert ein komplettes Umdenken in der Cybersicherheit. Die Schwachstelle „ZombieAgent“ kann KI-Systeme von OpenAI ohne jeglichen Nutzerklick kapern und zu Daten-Diebstahl und eigener Weiterverbreitung zwingen.

MAHWAH, NEW JERSEY – 20. Januar 2026 – Das Cybersicherheitsunternehmen Radware hat eine hochgefährliche Schwachstelle in den agentenbasierten KI-Systemen von OpenAI aufgedeckt, zu denen auch ChatGPT gehört. Die als „ZombieAgent“ bezeichnete Lücke ermöglicht es Angreifern, die autonomen KI-Assistenten komplett zu übernehmen – ohne dass ein Nutzer auch nur einen Mausklick tätigen muss. Die Entdeckung offenbart eine massive Bedrohung für Unternehmen, die solche KI-Agenten zunehmend in sensible Arbeitsabläufe integrieren.

So funktioniert der „Zero-Click“-Angriff

Der Angriff nutzt eine als Indirekte Prompt-Injection (IPI) bekannte Technik. Dabei verstecken Hacker bösartige Befehle in scheinbar harmlosen Dokumenten, E-Mails oder Webseiten. Die Anweisungen sind für das menschliche Auge unsichtbar, etwa durch mikroskopisch kleine Schrift oder weißen Text auf weißem Hintergrund.

Wenn ein KI-Agent im Rahmen seiner normalen Aufgaben – wie dem Zusammenfassen eines Posteingangs oder dem Analysieren eines Dokuments – diesen manipulierten Inhalt verarbeitet, interpretiert er die versteckten Befehle als legitime Anweisungen. Der Nutzer bekommt davon nichts mit. Der kompromittierte Agent kann dann sensible Daten sammeln, Dateien stehlen und mit Servern der Angreifer kommunizieren.

Viele Sicherheitskonzepte greifen nicht mehr, sobald KI‑Agenten autonom in der Cloud handeln. Aktuelle Vorfälle wie „ZombieAgent“ zeigen, wie Daten still und ohne lokale Spuren abfließen können. Ein kostenloser Cyber‑Security‑Report erklärt praxisnahe Schutzmaßnahmen, wie Sie KI‑Agenten in Echtzeit überwachen, Datenzugriffe einschränken und Compliance‑Risiken reduzieren. Besonders nützlich für IT‑Leiter und Sicherheitsverantwortliche. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Der Agent wird zum permanenten Spion

Was „ZombieAgent“ besonders gefährlich macht, ist seine Fähigkeit zur Persistenz. Im Gegensatz zu früheren Schwachstellen wie „ShadowLeak“ kann der Angriff dem Agenten bösartige Regeln direkt in sein Langzeitgedächtnis einpflanzen. Das Ergebnis: Der Agent führt auch dann noch versteckte Aktionen aus, wenn das ursprüngliche, schadhafte Dokument längst gelöscht ist. Der Angreifer etabliert so einen dauerhaften Zugriff.

Noch bedrohlicher ist die autonome Verbreitung. Ein gekaperter Agent kann angewiesen werden, E-Mail-Adressen aus den Kontakten des Nutzers zu sammeln und die schädlichen Befehle an diese Kontakte weiterzuleiten. So entsteht das Potenzial für eine wurmartige Epidemie, die sich von einer einzigen E-Mail aus rasend schnell innerhalb einer Organisation und darüber hinaus ausbreiten kann.

Warum Firewalls und Virenscanner versagen

Die größte Herausforderung für die IT-Sicherheit: Die gesamte schädliche Aktivität spielt sich ausschließlich in der Cloud des KI-Anbieters ab. Der kompromittierte Agent überträgt Daten direkt von den OpenAI-Servern zu einem Ziel, das der Angreifer kontrolliert. Dieser Ablauf umgeht den gesamten traditionellen Sicherheitsperimeter eines Unternehmens.

Firewalls, Secure Web Gateways und Endpoint Detection- und Response-Lösungen (EDR) sind gegen diesen Angriffstyp machtlos. Es werden keine verdächtigen Netzwerkverbindungen im Firmennetzwerk aufgebaut und keine verdächtigen Aktivitäten auf den Endgeräten der Mitarbeiter protokolliert. Radware warnt vor einem „gefährlichen blinden Fleck“, der Unternehmen, die auf KI-Agenten setzen, schutzlos zurücklässt.

Branche muss Sicherheitsstrategie komplett überdenken

Die Entdeckung von „ZombieAgent“ unterstreicht eine fundamentale Schwäche der aktuellen Generation autonomer KI-Plattformen. Je mehr Zugriff und Handlungsfähigkeit diese Agenten erhalten, desto größer wird die Angriffsfläche. Selbst die von den KI-Entwicklern eingebauten Schutzmechanismen („Guardrails“) können, wie die Forschung zeigt, umgangen werden.

Experten fordern daher einen grundlegenden Wandel in der Sicherheitsstrategie. Es reicht nicht mehr aus, sich auf die Sicherheitsvorkehrungen der KI-Anbieter oder klassische Netzwerküberwachung zu verlassen. Unternehmen müssen neue Wege finden, um das Echtzeit-Verhalten von KI-Agenten zu überwachen und sicherzustellen, dass ihre Aktionen tatsächlich der Absicht des Nutzers entsprechen.

OpenAI hat bereits gepatcht – das Risiko bleibt

Radware hat die Schwachstelle gemäß verantwortungsvoller Offenlegung an OpenAI gemeldet. Der KI-Pionier hat das Problem nach Angaben aus Branchenkreisen bereits Mitte Dezember 2025 mit einem Patch behoben. Doch „ZombieAgent“ ist eine eindringliche Warnung an die gesamte Branche.

Unternehmen, die KI einführen, müssen von ihren Anbietern mehr Transparenz und robustere Sicherheitskontrollen fordern. Spezialisierte Tools zur Überwachung von KI-Agenten werden künftig unverzichtbar sein. Bis dahin raten Sicherheitsexperten zu äußerster Vorsicht: KI-Agenten sollten nur die absolut notwendigsten Berechtigungen und den geringstmöglichen Zugriff auf Daten und Systeme erhalten. Die Sicherung dieser autonomen Helfer wird zu einer der größten Herausforderungen der Cybersicherheit.

PS: Wollen Sie Ihr Unternehmen gegen solche KI‑Angriffe wappnen? Der Gratis‑Leitfaden „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, neue KI‑Regeln und sofort umsetzbare Schutzschritte zusammen – in verständlicher Sprache für Entscheider. Er zeigt, welche Kontrollen sofort eingeführt werden sollten, ohne große Investitionen. Ideal für Geschäftsführer, IT‑Sicherheitsbeauftragte und CISOs, die kurzfristig handeln müssen. Gratis‑Cyber‑Guide für Entscheider sichern