ChatGPhish: фишинг через AI-резюме страниц

ChatGPhish показывает, как Markdown в AI-ответах может стать каналом фишинга через доверие к сжатым веб-сводкам и ссылкам.

2026-06-13 GIGATAP Team #security
#security-advisory#ai-security#phishing

Что изменилось#

Permiso Security описала проблему, названную ChatGPhish. По данным urlThe Hacker Newshttps://thehackernews.com/2026/05/chatgphish-vulnerability-turns-chatgpt.html, затронут механизм отображения веб-ответов ChatGPT, который обрабатывает Markdown-ссылки и изображения.

Суть риска узкая: если слой отображения принимает Markdown из внешнего источника без строгой проверки, атакующий может встроить вводящий в заблуждение контент. Это открывает путь к prompt injection и манипуляции тем, как пользователь видит итоговую сводку.

Почему это важно#

Проблема лежит в переносе доверия. Пользователь часто не доверяет исходной странице, но начинает доверять краткой, аккуратно оформленной AI-сводке. Если вредоносный Markdown сохраняется в интерфейсе, ссылка или текст внутри ответа получает усиленный эффект доверия.

Риск усиливается в сценариях, где AI используется для анализа поиска, документов, закупок, юридических материалов и служебных сводок. Пользователь принимает решения на основе уже отфильтрованного текста, а не исходного источника. Это создаёт отдельный слой атаки — на уровне интерпретации.

Фишинговые цепочки могут использовать этот слой для перенаправления на поддельные страницы входа, OAuth-запросы или формы сбора данных. Публичные данные не подтверждают масштабы эксплуатации, но класс угрозы уже сформирован: интерфейс становится точкой доставки, а не только текстом.

Что проверить#

Проведите аудит того, как пользователи взаимодействуют с AI-сводками веб-контента:

  • проверьте, открываются ли ссылки из AI-ответов без внешней валидации домена
  • проверьте, различается ли отображаемый текст ссылки и фактический URL
  • настройте правила: не вводить учётные данные после перехода из AI-резюме без повторной проверки домена
  • обновите внутренние политики работы с AI-инструментами для браузинга и суммаризации
  • проведите аудит DNS-фильтрации и антифишинговых механизмов для переходов из AI-интерфейсов
  • мониторьте попытки использования AI-ответов как промежуточного доверенного слоя в цепочке атак

Ограничения и что не стоит утверждать#

Нет подтверждений массовой эксплуатации или универсального CVE-уровня для всех версий. Не зафиксировано, что платформа полностью компрометирована или что атака работает без условий взаимодействия.

Неопределёнными остаются детали реализации: уровень очистки Markdown, политика обработки ссылок, наличие предупреждений и видимость исходных источников.

Корректная оценка: проблема относится к классу prompt injection через отображаемый контент и затрагивает модель доверия к AI-интерфейсам. Это не взлом системы, а смещение границы доверия между исходным веб-контентом и его интерпретацией.