Die von Check Point entdeckte Schwachstelle umgeht die Schutzmechanismen von ChatGPT, indem sie einen Seitenkanal in der Linux-Laufzeitumgebung ausnutzt, die der KI-Agent für Codeausführung und Datenanalyse heranzieht. Konkret missbraucht der Angriff einen verborgenen, DNS-basierten Kommunikationsweg als “verdeckten Transportmechanismus”: Informationen werden in DNS-Anfragen kodiert, um die sichtbaren Schutzvorkehrungen der KI zu umgehen. Derselbe versteckte Pfad lässt sich laut Check Point auch nutzen, um eine entfernte Shell innerhalb der Linux-Laufzeitumgebung aufzubauen und Befehle auszuführen.
Weil weder eine Warnung noch ein Bestätigungsdialog erscheint, entsteht ein sicherheitstechnischer blinder Fleck. Das KI-System ging davon aus, dass seine Umgebung isoliert sei und keine Daten nach außen senden könne. Da das Modell unter dieser Annahme arbeitete, erkannte es den Vorgang nicht als externen Datentransfer, der Widerstand oder eine Rückfrage beim Nutzer erfordert hätte. Entsprechend löste das Abfließen der Daten keine Warnung aus, verlangte keine ausdrückliche Bestätigung und blieb aus Nutzersicht weitgehend unsichtbar.
Als Beispielszenario nennt Check Point, dass ein Angreifer einen Nutzer dazu bringen könnte, einen schädlichen Prompt einzufügen – etwa unter dem Vorwand, damit kostenlos Premium-Funktionen freizuschalten oder die Leistung von ChatGPT zu verbessern. Besonders kritisch werde die Technik, wenn sie in benutzerdefinierte GPTs eingebettet wird, da sich die schädliche Logik dort fest verankern lässt, statt den Nutzer zum Einfügen eines präparierten Prompts zu verleiten.
“Diese Untersuchung untermauert eine harte Wahrheit für das KI-Zeitalter: Man sollte nicht davon ausgehen, dass KI-Werkzeuge von Haus aus sicher sind”, erklärte Eli Smadja, Forschungsleiter bei Check Point Research. Da sich KI-Plattformen zu vollwertigen Rechenumgebungen entwickelten, die hochsensible Daten verarbeiten, reichten native Sicherheitskontrollen allein nicht mehr aus; Organisationen bräuchten unabhängige Einblicke und mehrschichtigen Schutz zwischen sich und den KI-Anbietern.
Die zweite Schwachstelle, gemeldet von BeyondTrust Phantom Labs, betrifft OpenAIs Codex. Laut Forscher Tyler Jespersen steckt der Fehler in der HTTP-Anfrage zur Aufgabenerstellung, über die sich beliebige Befehle im Parameter für den GitHub-Branch-Namen einschleusen lassen. Ursache ist eine unzureichende Eingabebereinigung bei der Verarbeitung von Branch-Namen während der Aufgabenausführung in der Cloud. So konnte ein Angreifer über eine HTTPS-POST-Anfrage an die Codex-API Befehle in den Container des Agenten einschleusen und Authentifizierungs-Token abgreifen – darunter das GitHub-User-Access-Token, mit dem sich Codex bei GitHub authentifiziert.
Laut Kinnaird McQuade, Chief Security Architect bei BeyondTrust, ermöglichte dies laterale Bewegung sowie Lese- und Schreibzugriff auf die gesamte Codebasis eines Opfers. OpenAI behob das Problem am 5. Februar 2026, nachdem es am 16. Dezember 2025 gemeldet worden war. Betroffen sind die ChatGPT-Website, die Codex-CLI, das Codex-SDK und die Codex-IDE-Erweiterung.
Die Technik der Branch-Command-Injection ließ sich BeyondTrust zufolge auch ausweiten, um GitHub-Installation-Access-Token zu stehlen und Bash-Befehle im Code-Review-Container auszuführen, sobald @codex in GitHub referenziert wird. In einem Test reichte eine Erwähnung von Codex in einem Kommentar zu einem Pull Request, woraufhin der ausgelöste Container die hinterlegte Schadlast ausführte und die Antwort an einen externen Server weiterleitete. BeyondTrust betont, dass der privilegierte Zugriff von KI-Coding-Agenten einen skalierbaren Angriffsweg in Unternehmenssysteme eröffnen kann, ohne herkömmliche Sicherheitskontrollen auszulösen.
