ChatGPT-Agenten: Gefahr durch eigenständige KI.
Generative KI wird bisher vor allem als Assistenzwerkzeug verstanden, doch mit der Einführung von sogenannten „Agenten“ steht ein Paradigmenwechsel bevor. Diese autonomen Systeme führen nicht nur Befehle aus, sondern agieren selbstständig, interagieren mit Systemen, treffen Entscheidungen und können, im schlimmsten Fall, ohne menschliches Zutun Schaden anrichten.
Die Gefahrenquellen in Kurzfassung
- Der neu veröffentlichte ChatGPT-Agent bietet verbesserte Funktionen und damit Sicherheitsherausforderungen, denen herkömmliche Assistenten nie ausgesetzt waren. Er kann eigenständig Aktionen auszuführen und auf externe Systeme zuzugreifen ohne, dass der Nutzer jede Handlung explizit anstößt.
- Diese Autonomie macht ihn attraktiv für Angreifer: von automatisierter Cyberkriminalität und gezielten Angriffen auf kritische Infrastrukturen bis hin zu großflächiger Datenspionage.
- Der Agent hat außerdem ein erhöhtes Risiko für Manipulation und ist damit anfälliger für Datenschutzverstöße. Unternehmen sind unbeabsichtigten Aktionen und möglichen Datenlecks ausgesetzt.
- Im Unterschied zu Chatbots wie dem klassischen ChatGPT können KI-Agenten komplexe Aufgaben in mehreren Schritten ausführen, APIs ansteuern, Tools starten und Prozesse vollständig automatisieren. Dies ermöglicht auch den Aufbau persistenter Zugänge im Unternehmensnetzwerk.
- Die Kombination aus generativer KI, API-Anbindung und eigenständiger Aktionsausführung schafft ein Angriffspotenzial, das deutlich über klassische Social-Engineering- oder Phishing-Ansätze hinausgeht.
Agenten: Technische Risiken und Szenarien
Wie kann ein konkreter Angriffsweg aussehen? Ein kompromittierter KI-Agent könnte komplette Angriffsketten autonom durchführen. Vom Erkennen einer Schwachstelle über den Erstzugang bis zur dauerhaften Verankerung im Zielsystem. Möglich wird das durch seine Fähigkeit, externe Tools anzusteuern, Schnittstellen zu nutzen und Prozesse selbstständig zu planen und auszuführen. So kann er beispielsweise eigenständig Schwachstellen-Scans starten, Passwörter auslesen, interne Dokumente exfiltrieren oder Cloud-Services manipulieren. Und das alles automatisiert und in einer Geschwindigkeit, die menschliche Angreifer kaum erreichen könnten. Besonders brisant ist, dass ein Angreifer den Agenten nur ein einziges Mal manipulieren müsste, um anschließend über Wochen oder Monate hinweg unbemerkt Datenabflüsse oder Sabotageaktionen zu ermöglichen.
Udo Schneider, Governance, Risk & Compliance Lead, Europe bei Trend Micro, warnt: „Während traditionelle Assistenten wie Gemini noch reaktiv sind, überschreitet der neue ChatGPT-Agent diese Grenze und übernimmt eigenständig die Initiative, um Aufgaben mit nur wenig Eingaben zu erledigen. Diese gesteigerte Autonomie bringt jedoch neue Risiken mit sich, mit denen frühere ChatGPT-Versionen nicht konfrontiert waren. Da das System jetzt mit weniger Kontrolle durch den Nutzer arbeitet, könnten Angreifer seine Aktionen so manipulieren, dass es dem Nutzer gar nicht sofort auffällt und der Agent dadurch gegen die eigentlichen Absichten des Nutzers handelt.“
Das Sicherheitsproblem verschärft sich dadurch, dass viele Unternehmen Agenten bereits in Testumgebungen einsetzen. Das geschieht oft ohne klare Richtlinien zu Zugriffen, Datenflüssen oder Protokollierung.
Empfohlene Schmutzmaßnahmen
- klare Zugriffsbeschränkungen für Agenten
- Monitoring aller Agenten-Aktivitäten in Echtzeit
- Simulation möglicher Angriffsszenarien, um Schwachstellen zu erkennen, bevor Kriminelle sie ausnutzen