Hacker versenden unschuldig wirkende HTML-E-Mails mit versteckten, böswilligen Befehlen an ihre Opfer. Nutzt das Opfer später ChatGPT zur Durchsuchung oder Zusammenfassung seiner E-Mails, führt die KI unwissentlich die schädlichen Anweisungen aus. Das System kann dann personenbezogene Daten aus Personalunterlagen extrahieren und Base64-kodiert an externe Server weiterleiten.
Das Grundproblem liegt in ChatGPTs Unfähigkeit, zwischen normalen Daten und Befehlen zu unterscheiden. Die Angreifer umgingen Sicherheitssperren durch verschiedene Verschleierungstechniken und überzeugten das System, die Datenexfiltration sei eine „notwendige Sicherheitsmaßnahme“.
Radware meldete die Schwachstelle bereits am 18. Juni an OpenAI. CEO Sam Altman warnte Mitte Juli öffentlich vor ähnlichen Angriffsszenarien, verschwieg jedoch, dass seinem Unternehmen bereits konkrete Informationen über „ShadowLeak“ vorlagen. Die Lücke wurde erst am 3. September offiziell als behoben markiert – die Produkteinführung des betroffenen ChatGPT Agent wurde nicht verschoben.