Исследователь Permiso Security Энди Ахмети описал технику ChatGPhish, которая превращает обычный пересказ веб-страницы в фишинговую поверхность внутри ChatGPT. Проблема проявляется в момент, когда пользователь просит ассистента пересказать страницу, а сама страница содержит скрытые инструкции, Markdown-ссылки или изображения, подготовленные атакующим.
Сценарий простой. Пользователь открывает сайт, просит ChatGPT сделать краткое резюме, а модель получает не только видимый текст, но и содержимое страницы, где спрятан фишинговый сценарий. После обработки ChatGPT может вывести ссылку, картинку, QR-код или ложное уведомление так, будто это часть нормального ответа ассистента. Именно доверие к интерфейсу делает атаку опасной: фишинговый элемент появляется прямо в окне ChatGPT.
ChatGPhish относится к непрямым промпт инъекциям. Это атака, при которой вредоносная инструкция передается модели не напрямую пользователем, а через внешний источник: сайт, письмо, документ, лог, тикет, страницу базы знаний или другой текст, который ассистент читает по запросу. В классическом фишинге злоумышленник отправляет ссылку человеку. Здесь ссылка может появиться уже после обработки страницы ИИ-инструментом.
Ахмети показал, что вредоносная страница может заставить ChatGPT отобразить фальшивое предупреждение о безопасности, ссылку на поддельную страницу входа или QR-код. Отдельный риск связан с изображениями: при автоматическом отображении картинки браузер может обратиться к внешнему адресу. Такой запрос способен раскрыть технические данные вроде IP-адреса, User-Agent и времени обращения.
The Register пишет, что исследователь передал отчет через программу OpenAI на Bugcrowd 29 апреля 2026 года, а 1 мая обновил заявку. Первоначально отчет получил статус «не воспроизводится». Издание также указало, что OpenAI не ответила на вопросы о наличии исправления.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
