DeepChat-Fans, jetzt schnell handeln! Die Open-Source-KI-Plattform schleppt eine echte Hammer-Lücke mit: CVE-2026-43899 mit einem CVSS-Score von 9.6 — also kritisch. Eine einzige Markdown-Antwort von einem KI-Endpunkt reicht aus, um eine Remote Code Execution auf deinem Rechner abzuziehen. Du klickst nicht — der Klick passiert.
UNGLAUBLICH: Markdown-Link wird zur Shell
Der Trick steckt in Electron, dem Framework hinter DeepChat. Eine Patch von 2025 hatte api.openExternal() in der Renderer-Preload abgeklemmt — aber ein zweiter Pfad blieb offen: native Pop-Up-Handler in tabPresenter.ts. Sobald ein KI-Modell eine Antwort mit Markdown-Link liefert, der ein target="_blank" trägt, fängt der native Window-Handler das ab, leitet die URL an shell.openExternal() weiter und umgeht die isValidExternalUrl-Prüfung komplett. Das öffnet Tür und Tor für beliebige Protokolle — file://, gopher://, ms-officecmd://. Wer mag, sagt: Game Over für DeepChat.
SCHOCK: Zwei kritische Lücken auf einen Schlag
Als wäre die RCE nicht genug, kommt CVE-2026-43900 mit CVSS 9.3 obendrauf. Der SVG-Sanitizer prüft den Inhalt korrekt, aber Vue rendert HTML-Entities anders als das Backend annimmt. Ergebnis: Versteckter JavaScript-Code im SVG-Artefakt, der beim Anklicken im Renderer-Kontext explodiert. Beide Lücken sind im selben Patch geflickt — Version 1.0.4-beta.1 ist die Pflicht-Schwelle.
So flickst du DeepChat in 10 MINUTEN
- Stop: DeepChat-Container/Desktop schließen. Wer in einem NAS-App-Store installiert hat, stop-app klicken.
- Beta installieren:
git pullauf Tagv1.0.4-beta.1oder neuer. Docker-User: neues Image ziehen, Container neu starten. - API-Provider durchforsten: Welche Endpoints sind angebunden? Nicht-vertrauenswürdige rauswerfen — die liefern den Markdown-Trojaner aus.
- Renderer-Logs prüfen: Suche nach
shell.openExternalCalls mit ungewöhnlichen Protokollen. Das ist dein IoC. - Browser-Default härten: Auf dem Host das Standard-Programm für ungenutzte Protokolle (zum Beispiel
ms-officecmd) auf einen No-Op umbiegen — Defense in Depth.
EXTRA-TIPP: KI-Endpunkte mit Sandbox
Wer mehrere LLM-Provider verschaltet, sollte einen Proxy dazwischenstellen, der Markdown-Antworten auf gefährliche Protokoll-Strings prüft. Klingt nach Aufwand, ist aber mit zehn Zeilen Python ein No-Brainer und schließt die Lücke unabhängig vom Tool, das du gerade nutzt.
FAZIT: KI-Tools brauchen die gleiche Hygiene wie Browser
DeepChat zeigt eindrucksvoll, dass KI-Apps mit Electron-Unterbau dieselben Vorsichtsmaßnahmen brauchen wie ein normaler Web-Browser. Markdown-Output ist kein neutraler Text, sondern ein potenzieller Angriffsvektor. Wer mehrere KI-Backends anschließt, ist exponiert wie ein Chrome-Tab mit aktiviertem file://. Update jetzt — und behandle KI-Antworten künftig wie Browser-Cookies: mit Misstrauen und Whitelisting.
Häufige Fragen
Welche Versionen sind betroffen?
Was bedeutet CVE-2026-43899 konkret?
target="_blank" verstecken. Wenn der Link geklickt oder automatisch geöffnet wird, landet die URL direkt in shell.openExternal() — und damit beim System-Default-Handler, der beliebige Befehle ausführen kann.Wie behebe ich das Problem konkret?
Gibt es zusätzlich noch eine XSS-Lücke?
v-html, sodass JavaScript landet, sobald der Nutzer ein präpariertes SVG-Artefakt anklickt. Beides ist mit demselben Update geflickt — also genug Gründe, das Beta jetzt einzuspielen.