Что изменилось#
Permiso Security описала проблему, названную ChatGPhish. По данным urlThe Hacker Newshttps://thehackernews.com/2026/05/chatgphish-vulnerability-turns-chatgpt.html, затронут механизм отображения веб-ответов ChatGPT, который обрабатывает Markdown-ссылки и изображения.
Суть риска узкая: если слой отображения принимает Markdown из внешнего источника без строгой проверки, атакующий может встроить вводящий в заблуждение контент. Это открывает путь к prompt injection и манипуляции тем, как пользователь видит итоговую сводку.
Почему это важно#
Проблема лежит в переносе доверия. Пользователь часто не доверяет исходной странице, но начинает доверять краткой, аккуратно оформленной AI-сводке. Если вредоносный Markdown сохраняется в интерфейсе, ссылка или текст внутри ответа получает усиленный эффект доверия.
Риск усиливается в сценариях, где AI используется для анализа поиска, документов, закупок, юридических материалов и служебных сводок. Пользователь принимает решения на основе уже отфильтрованного текста, а не исходного источника. Это создаёт отдельный слой атаки — на уровне интерпретации.
Фишинговые цепочки могут использовать этот слой для перенаправления на поддельные страницы входа, OAuth-запросы или формы сбора данных. Публичные данные не подтверждают масштабы эксплуатации, но класс угрозы уже сформирован: интерфейс становится точкой доставки, а не только текстом.
Что проверить#
Проведите аудит того, как пользователи взаимодействуют с AI-сводками веб-контента:
- проверьте, открываются ли ссылки из AI-ответов без внешней валидации домена
- проверьте, различается ли отображаемый текст ссылки и фактический URL
- настройте правила: не вводить учётные данные после перехода из AI-резюме без повторной проверки домена
- обновите внутренние политики работы с AI-инструментами для браузинга и суммаризации
- проведите аудит DNS-фильтрации и антифишинговых механизмов для переходов из AI-интерфейсов
- мониторьте попытки использования AI-ответов как промежуточного доверенного слоя в цепочке атак
Ограничения и что не стоит утверждать#
Нет подтверждений массовой эксплуатации или универсального CVE-уровня для всех версий. Не зафиксировано, что платформа полностью компрометирована или что атака работает без условий взаимодействия.
Неопределёнными остаются детали реализации: уровень очистки Markdown, политика обработки ссылок, наличие предупреждений и видимость исходных источников.
Корректная оценка: проблема относится к классу prompt injection через отображаемый контент и затрагивает модель доверия к AI-интерфейсам. Это не взлом системы, а смещение границы доверия между исходным веб-контентом и его интерпретацией.