✔Уязвимость ChatGPhish позволяет использовать ChatGPT для фишинговых атак - «Новости»

02 июня 2026 0 Новости / Ссылки / Изображения / Преимущества стилей / Сайтостроение / Вёрстка 0

Детали проблемы, получившей название ChatGPhish, раскрыл специалист компании Permiso Security Энди Ахмети (Andi Ahmeti). Уязвимость связана с тем, что ChatGPT доверяет Markdown-разметке, полученной из внешних источников во время суммаризации страниц. В результате ссылки и изображения, встроенные атакующим на сайт, могут отображаться внутри ответа ИИ как легитимные элементы интерфейса.

По словам исследователя, chatgpt.com автоматически загружает изображения, на которые ссылается Markdown-разметка, и делает ссылки кликабельными. Это открывает сразу несколько сценариев злоупотребления. Например, при отображении ответа браузер может автоматически обратиться к серверу злоумышленника, раскрыв IP-адрес пользователя, User-Agent и другие данные.

Хуже того, атакующий может заставить ChatGPT вывести поддельное уведомление в фирменном стиле сервиса. Так, в демонстрации Ахмети после обычного пересказа страницы появлялось сообщение о том, что в аккаунт якобы вошли с нового устройства, а рядом размещалась ссылка «для проверки». Внешне она выглядела как штатное предупреждение безопасности OpenAI, однако вела на контролируемый злоумышленниками домен.

Аналогичным образом в ответ ИИ можно встроить QR-код. Если пользователь отсканирует его, он перейдет на вредоносный ресурс, причем адрес сайта не отображается в открытом виде.

Исследователь подчеркивает, что главная проблема заключается даже не в промпт-инжекте. Косвенные промпт-инжекты в ИИ-системах известны давно. Опасность проблемы ChatGPhish состоит в том, что инструкции с внешней веб-страницы не просто влияют на ответ модели, но и отображаются внутри доверенного интерфейса ChatGPT как часть легитимного контента.

Информация об уязвимости была передана специалистам OpenAI через Bugcrowd еще в апреле 2026 года. Сначала в OpenAI сообщили, что не смогли воспроизвести описанное поведение, а затем пометили отчет как дубликат. По словам исследователя, он пытался уточнить различия между своей находкой и уже существующим тикетом, однако не получил ответа. В результате, на момент публикации информации о ChatGPhish, уязвимость не была устранена.

Специалисты Permiso считают, что подобные атаки лишь подчеркивают проблему современных ИИ-систем. Если раньше злоумышленникам нужно было убедить жертву открыть вредоносное вложение или перейти по ссылке, теперь достаточно вынудить человека обратиться к ИИ, чтобы тот пересказал содержимое специально подготовленной страницы. По сути, обычная веб-страница превращается в носитель пейлоада, а ИИ-помощник — в участника фишинговой атаки.

«Не доверяйте ответам модели, — предупреждает Ахмети. — Любой контент, сгенерированный ИИ, следует рассматривать как потенциально недоверенный. Нужно исходить из того, что промпт-инжекты неизбежны».

Исследователи продемонстрировали, что злоумышленники могут внедрять фишинговые ссылки, поддельные предупреждения безопасности и даже QR-коды в ответы ChatGPT. Для атаки достаточно разместить специальный пейлоад на веб-странице, а затем нужно вынудить пользователя обратиться к ИИ, попросив его кратко пересказать содержимое страницы. Детали проблемы, получившей название ChatGPhish, раскрыл специалист компании Permiso Security Энди Ахмети (Andi Ahmeti). Уязвимость связана с тем, что ChatGPT доверяет Markdown-разметке, полученной из внешних источников во время суммаризации страниц. В результате ссылки и изображения, встроенные атакующим на сайт, могут отображаться внутри ответа ИИ как легитимные элементы интерфейса. По словам исследователя, chatgpt.com автоматически загружает изображения, на которые ссылается Markdown-разметка, и делает ссылки кликабельными. Это открывает сразу несколько сценариев злоупотребления. Например, при отображении ответа браузер может автоматически обратиться к серверу злоумышленника, раскрыв IP-адрес пользователя, User-Agent и другие данные. Хуже того, атакующий может заставить ChatGPT вывести поддельное уведомление в фирменном стиле сервиса. Так, в демонстрации Ахмети после обычного пересказа страницы появлялось сообщение о том, что в аккаунт якобы вошли с нового устройства, а рядом размещалась ссылка «для проверки». Внешне она выглядела как штатное предупреждение безопасности OpenAI, однако вела на контролируемый злоумышленниками домен. Аналогичным образом в ответ ИИ можно встроить QR-код. Если пользователь отсканирует его, он перейдет на вредоносный ресурс, причем адрес сайта не отображается в открытом виде. Исследователь подчеркивает, что главная проблема заключается даже не в промпт-инжекте. Косвенные промпт-инжекты в ИИ-системах известны давно. Опасность проблемы ChatGPhish состоит в том, что инструкции с внешней веб-страницы не просто влияют на ответ модели, но и отображаются внутри доверенного интерфейса ChatGPT как часть легитимного контента. Информация об уязвимости была передана специалистам OpenAI через Bugcrowd еще в апреле 2026 года. Сначала в OpenAI сообщили, что не смогли воспроизвести описанное поведение, а затем пометили отчет как дубликат. По словам исследователя, он пытался уточнить различия между своей находкой и уже существующим тикетом, однако не получил ответа. В результате, на момент публикации информации о ChatGPhish, уязвимость не была устранена. Специалисты Permiso считают, что подобные атаки лишь подчеркивают проблему современных ИИ-систем. Если раньше злоумышленникам нужно было убедить жертву открыть вредоносное вложение или перейти по ссылке, теперь достаточно вынудить человека обратиться к ИИ, чтобы тот пересказал содержимое специально подготовленной страницы. По сути, обычная веб-страница превращается в носитель пейлоада, а ИИ-помощник — в участника фишинговой атаки. «Не доверяйте ответам модели, — предупреждает Ахмети. — Любой контент, сгенерированный ИИ, следует рассматривать как потенциально недоверенный. Нужно исходить из того, что промпт-инжекты неизбежны».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.