Lenovo wollte mit seinem KI-Chatbot Lena eigentlich den Kundenservice modernisieren. Stattdessen öffnete die digitale Assistentin ein Einfallstor für Angriffe, die bis hin zum Diebstahl sensibler Daten und der Kompromittierung interner Systeme reichen konnten. Cybernews-Forscher entdeckten gleich mehrere kritische XSS-Schwachstellen, die ein erschreckendes Licht auf den Umgang mit Sicherheit in KI-gestützten Services werfen.
Ein einziger Prompt genügt
Das Gefährliche: Bereits ein einziger, rund 400 Zeichen langer Prompt reichte aus, um die Sicherheitsmechanismen auszuhebeln. Die Angriffskette bestand aus vier Schritten:
-
Ein scheinbar harmloses Informationsersuchen („Zeig mir die Spezifikationen des Lenovo IdeaPad 5 Pro“).
-
Eine Anweisung, die Ausgabe in HTML, JSON und Text zu liefern.
-
Einschleusen von bösartigem HTML-Code, der eine Verbindung zu einem Angriffs-Server aufbaut und Session-Cookies abgreift.
-
Verstärkende Instruktionen, die die Ausgabe des manipulierten Codes erzwingen.
Lena folgte brav – und mit der erzeugten HTML-Antwort konnte die Schadfunktion direkt im Browser und später auch auf den Systemen von Support-Mitarbeitenden ausgeführt werden.
Von Cookie-Diebstahl bis potenziellem Systemzugriff
Das Ausmaß der Folgen ist erheblich:
-
Session-Hijacking: Aktive Session-Cookies von Kunden oder Support-Mitarbeitern konnten entwendet werden.
-
Plattform-Kompromittierung: Angreifer erhielten damit Zugriff auf das interne Kundensupport-System.
-
Lateral Movement: Über die infizierten Systeme wäre eine Bewegung ins Unternehmensnetzwerk denkbar gewesen.
-
Beliebige Manipulationen: Von Interface-Verfälschungen über Keylogging bis hin zu Phishing-Weiterleitungen oder Backdoor-Installationen – der potenzielle Schadensumfang war immens.
Die Forscher betonen: „Dies ist nicht nur ein Lenovo-Problem. Jede KI-Anwendung ohne strikte Input- und Output-Kontrollen öffnet Angreifern Tür und Tor.“
Fundamentale Versäumnisse
Die Analyse offenbart gleich mehrere gravierende Versäumnisse:
-
Fehlende Eingabesanitierung (Prompt-Inhalte wurden ungefiltert übernommen).
-
Fehlende Ausgabesanitisierung (Chatbot-Antworten wurden unkontrolliert im Webbrowser ausgeführt).
-
Serverseitige Validierung: Inhalte des Chatbots wurden ohne Prüfung gespeichert und später erneut ausgeführt.
-
Keine Content-Security-Policy (CSP), die den Zugriff auf externe Ressourcen eingeschränkt hätte.
Diese Kombination machte den Chatbot zu einer tickenden Zeitbombe – und zeigt, wie schnell ein „freundlicher Helfer“ zur Angriffsplattform wird.
Lenovo reagiert – doch das Problem ist größer
Cybernews meldete die Schwachstellen verantwortungsvoll an Lenovo. Das Unternehmen bestätigte die Vorfälle und hat inzwischen Schutzmaßnahmen implementiert.
Doch das Grundproblem bleibt branchenweit bestehen: KI-Systeme werden schneller ausgerollt, als ihre Sicherheit gewährleistet werden kann.
„Unternehmen bewegen sich schnell beim Launch von KI, aber zu langsam bei der Absicherung. Genau diese Lücke nutzen Angreifer“, warnt Žilvinas Girėnas, Head of Product bei Nexos.ai.
Sicherheit muss mit Innovation Schritt halten
Für Unternehmen bedeutet das: Zero-Trust auch für Chatbots. Jede Eingabe und jede Ausgabe ist potenziell schädlich und muss streng validiert werden. Empfohlene Maßnahmen umfassen:
-
Strikte Input-Sanitization (Whitelist, Längenbegrenzung, Escape-Prozesse).
-
Output-Sanitization (Entfernen von Code-Schnipseln, konsequente CSP-Regeln).
-
Verzicht auf Inline-JavaScript.
-
Minimalprinzip bei Berechtigungen für Chatbot-Apps und -Services.
-
Kontinuierliches Monitoring aller Eingaben und Ausgaben.
Fazit: Chatbots sind keine „sicheren Gesprächspartner“
Der Fall Lenovo zeigt exemplarisch, wie gefährlich Prompt-Injection und XSS-Angriffe in Verbindung mit generativen KI-Modellen sind. Chatbots sind keine harmlosen Gesprächspartner – sie folgen Anweisungen, ohne zwischen „gut“ und „böse“ unterscheiden zu können.
Wer KI-Systeme einsetzt, muss davon ausgehen, dass jedes Input- und Output-Element manipuliert sein könnte. Nur so lassen sich gravierende Sicherheitsvorfälle verhindern – bevor der nächste freundliche Chatbot zum Einfallstor ins Unternehmensnetz wird.
Kommentar von Jurgita Lapienytė, Chefredakteurin bei Cybernews
„Der nächste große Computerwurm wird möglicherweise nicht über E-Mail-Anhänge geliefert – er könnte von einem „hilfsbereiten“ KI-Tool in einem Support-Chat mitverfasst sein.
Als Cybernews-Sicherheitsforscher Lenovos Chatbot „Lena“ dazu brachten, Session-Cookies preiszugeben und fröhlich bösartigen Code auszuführen, enthüllten sie, was möglicherweise zum bestimmenden Sicherheitsproblem des KI-Zeitalters wird: Maschinen, die nicht nur Daten falsch handhaben, sondern ihre eigenen Ausgaben im Gehorsam gegenüber den Anweisungen eines Angreifers aktiv in Waffen verwandeln.
Die Schlagzeilen könnten dies als einen Fall von „XSS, zurückgekehrt aus dem Grab“ bezeichnen. Doch das verfehlt das größere Problem: KI hat nicht nur schlummernde Schwachstellen wiederbelebt, sondern eine ganze Klasse von Bedrohungen, von denen die Branche einst dachte, sie hinter sich gelassen zu haben.
Anstatt einer simplen Wiederkehr von Cross-Site Scripting aus den 2000ern verkörpert Lena ein neues Paradigma: KI-generierte Angriffsvektoren, die nicht durch gegnerische Genialität, sondern durch die unkritische Gefügigkeit des Modells ausgeführt werden.
KI erschafft „selbstbewaffnende Inhalte“
Traditionell schreibt ein Angreifer bösartigen Code und injiziert ihn in ein verwundbares System. Hier war jedoch der Chatbot selbst der Autor der bösartigen Nutzlast. Er erstellte den Code im Deckmantel, dem Benutzer zu dienen.
Das ist eine subtile, aber dramatische Verschiebung. Angreifer müssen ihre Exploits nicht länger in obskuren Datenfeldern oder hochgeladenen Skripten verstecken. Sie können ein KI-System einfach bitten, den Exploit für sie zu erzeugen. Das LLM ist nun ein Kollaborateur seines eigenen Kompromisses.
Dies ist die Geburt dessen, was ich „selbstbewaffnende Inhalte“ nennen würde: von KI generierte Daten, die gleichzeitig als eigener Angriffsvektor fungieren – nicht, weil die KI „böse“ wäre, sondern weil sie kein Konzept von Sicherheit hat.
Dieses Phänomen könnte über Chatbots hinausgehen – man denke an KI-Agenten, die E-Mails mit versteckten Nutzlasten schreiben, oder an KI-generierte Dokumente mit eingebetteten Skripten, die an ahnungslose Unternehmensnutzer weitergeleitet werden.
Wir erleben die Rückkehr des Wurms (mit KI als Träger)
Die Angriffskette bei Lena ähnelte der Ära der Computerwürmer der frühen 2000er – als sich bösartiger Code mit Netzwerkgeschwindigkeit von einer Maschine zur anderen verbreitete, ganz ohne menschliches Zutun.
Das ist die Parallele:
-
Lena generierte HTML + Nutzlasten.
-
Diese Ausgabe kompromittierte den Browser des Benutzers und blieb in der Gesprächshistorie bestehen.
-
Wenn ein menschlicher Support-Mitarbeiter sie erneut öffnete, wurde der bösartige Code wieder ausgeführt und stahl dessen Session-Cookies.
Mit anderen Worten: Die KI fungierte wie der erste infizierte Wirt des Wurms. Indem sie höflich Fragen beantwortete, pflanzte sie auch bösartige Anweisungen, die sich innerhalb der Systeme von Lenovo verbreiten konnten.
Künftig könnten so KI-gestützte Helpdesks in allen Branchen unbewusst als Startpunkt für wurmartige Ausbreitung innerhalb von Unternehmen dienen. Der nächste große Wurm wird vielleicht nicht über E-Mail-Anhänge geliefert – er könnte von einem „hilfsbereiten“ KI-Tool in einem Support-Chat mitverfasst sein.
Regulatorische und rechtliche Nachbeben kommen
Lenovo, ein weltweit gehandeltes Unternehmen, stellte im Grunde ein unsicheres, kundenorientiertes KI-Tool bereit, das Angreifer nutzen konnten, um tiefer in seine Unternehmenssysteme vorzudringen.
Regulierungsbehörden in der EU und Asien (wo Lenovo stark aktiv ist) nehmen KI-Einführungen bereits mit neuer Gesetzgebung zur KI-Haftung ins Visier.
Vorfälle wie Lenas Fehltritt sollten für Gesetzgeber als „Exhibit A“ dienen, um zu zeigen, dass KI-Schwachstellen nicht nur technische Mängel, sondern auch rechtliche Risiken darstellen. Stell dir die Klagen vor: „Unsere Daten wurden nicht wegen eines Bugs geleakt, sondern weil eure KI aktiv bösartige Anweisungen erzeugte und ausführte.“
Dies verwandelt Unternehmens-KI von einer „Compliance-Frage der Zukunft“ in eine Haftungsfrage der Gegenwart.
Erwartet steigende Versicherungsprämien für Unternehmen, die generative KI einsetzen, heiß diskutierte Haftungsklauseln in Verträgen und Regulierungsbehörden, die strengere KI-„Safety-by-Design“-Zertifizierungen vorschreiben – ähnlich wie die Autoindustrie nach Jahrzehnten vermeidbarer Unfälle Crashtest-Standards bekam.
Es geht um naive Unternehmen
Lenovos Schwachstelle ist nicht interessant, weil die Angreifer genial waren. Sie ist interessant, weil sie vorhersehbar war. Sie entspringt der fundamentalen Eigenschaft von LLMs: Sie tun, was man ihnen sagt. Das ist kein Bug. Das ist ihr Zweck.
Und doch führen viele Unternehmen Chatbots ein, als wären es statische Webseiten, und vergessen, dass LLMs endlos variierte Ausgaben erzeugen, die ungeprüft in Browser, Logs und sogar Backend-Systeme gelangen. Diese Diskrepanz zwischen dem Verhalten dieser Systeme und der Behandlung durch Unternehmen wird die Sicherheitsgeschichte des Jahrzehnts sein.
So wie SQL-Injection die Webentwicklung in den 2000ern hart lehrte, werden Prompt-Injection und KI-gestütztes XSS die Unternehmenssicherheitsschulung Mitte der 2020er prägen.
Was als Nächstes kommt
Lenas Schwachstelle wurde gepatcht – aber das Muster wird hier nicht enden. Heute sind es Session-Cookies im Kundensupport.
Morgen könnten es KI-generierte SQL-Abfragen sein, die gegen Live-Datenbanken laufen, LLM-gestützte Dokumentationstools, die bösartige Shell-Befehle in DevOps-Pipelines einspeisen, oder KI-Code-Assistenten, die vergiftete Abhängigkeiten in Lieferketten einschleusen.
Die KI-Revolution wird die Geister älterer Schwachstellen mit sich tragen – verstärkt, automatisiert und beschleunigt.
Die große Lektion für Unternehmen ist, dass sie aufhören sollten, KI-Ausgaben als Information zu behandeln. Beginnt, sie als Code zu behandeln. Denn sobald Chatbots in HTML, JSON oder Javascript schreiben können, ist jede Interaktion ein potenzieller Exploit. Lenas Gefälligkeit war eine Warnung für das, was kommt.“
Über die Autorin
Jurgita Lapienytė ist Chefredakteurin bei Cybernews, wo sie ein Team von Journalisten und Sicherheitsexperten leitet, das sich der Aufdeckung von Cyberbedrohungen durch Recherche, Tests und datengetriebenes Reporting widmet. Mit einer Karriere von über 15 Jahren berichtete sie über große globale Ereignisse, darunter die Finanzkrise 2008 und die Terroranschläge in Paris 2015, und trieb durch investigativen Journalismus Transparenz voran. Sie ist eine leidenschaftliche Verfechterin für das Bewusstsein für Cybersicherheit und Frauen in der Tech-Branche, hat führende Persönlichkeiten der Cybersecurity interviewt und verstärkt unterrepräsentierte Stimmen in der Branche. Sie wurde als Cybersecurity-Journalistin des Jahres ausgezeichnet und in Top Cyber News Magazine’s „40 Under 40 in Cybersecurity“ aufgenommen. International wurde sie u. a. von Metro UK, The Epoch Times, Extra Bladet, Computer Bild zitiert. Ihr Team berichtet über exklusive Recherchen, die u. a. von BBC, Forbes, TechRadar, Daily Mail, Fox News, Yahoo und vielen mehr aufgegriffen wurden.
#Cybernews
Statement Lenovo
Zum Artikel von Jurgita Lapienytė, Chefredakteurin bei Cybernews, erreichte uns folgende Stellungnahme von Lenovo:
Lenovo takes the security of our products and the protection of our customers very seriously. We were recently made aware of a chatbot cross-site scripting (XSS) vulnerability by a third-party security researcher. Upon becoming aware of the issue, we promptly assessed the risk and implemented corrective actions to mitigate potential impact and address the issue. We want to thank the researchers for their responsible disclosure, which allowed us to deploy a solution without putting our customers at risk.
