Eine neu entdeckte Schwachstelle namens ChatGPhish ermoglicht es jeder Webseite, ChatGPT in eine aktive Phishing-Oberflache zu verwandeln. Forscher von Permiso Security veroffentlichten am 29. Mai 2026 Proof-of-Concept-Demonstrationen, die zeigen, dass ChatGPT Markdown-Links und QR-Codes aus externen Webseiten rendert. Eine von Angreifern kontrollierte Seite kann gefalschte Sicherheitswarnungen, boschrtige Links und mobile QR-Weiterleitungen direkt in die ChatGPT-Sitzung eines Opfers einbetten.
Wie ChatGPhish funktioniert: Browser vertraut der KI, KI vertraut der Seite
Der Angriff ist ein Cross Prompt Injection Attack (XPIA) gegen den Response-Renderer von ChatGPT. Wenn ein Nutzer ChatGPT bittet, eine externe Webseite zusammenzufassen, verarbeitet die KI den Seiteninhalt - einschliesslich eingebetteter Markdown-Formatierung. ChatGPT rendert diese dann als formatierten Inhalt in seiner eigenen Oberflache und behandelt vom Angreifer injizierte Links als aus der KI selbst stammend.
Aus Sicht des Opfers scheinen die Phishing-Inhalte direkt von ChatGPT zu kommen. Kein verdachtiger URL, kein Warnbanner - die vertrauenswurdige chatgpt.com-Oberflache wird zum Auslieferungsmechanismus fur den Angriff.
Drei Angriffsmethoden von ChatGPhish
- Gefalschte OpenAI-Sicherheitswarnungen: Eingebettetes Markdown rendert als stilisierte Schaltflache, die offizielle OpenAI-Benachrichtigungen imitiert, und fuhrt zur Phishing-Seite.
- QR-Code-Pivot auf Mobilgerate: Inline-QR-Codes leiten den Angriff vom Desktop auf das Smartphone des Opfers um.
- Tracking-Pixel: Unsichtbare Bild-URLs werden beim Rendern automatisch geladen und ubertragen IP-Adresse, User Agent und Session-Timing an den Angreifer.
OpenAI im April informiert - noch kein Patch
Forscher Andi Ahmeti meldete die ChatGPhish-Schwachstelle am 29. April 2026 uber Bugcrowd an OpenAI. Nach 30 Tagen ohne konkreten Zeitplan veroffentlichte Permiso am 29. Mai 2026 die vollstandigen Erkenntnisse. Zum Zeitpunkt der Veroffentlichung hat OpenAI noch keinen Patch bereitgestellt.
Warum das wichtig ist: KI-Assistenten als Phishing-Infrastruktur
ChatGPhish stellt einen strukturellen Wandel im Phishing-Risiko dar. Traditionelles Phishing erfordert, Opfer dazu zu bringen, verdachtige Links anzuklicken. ChatGPhish kehrt das Modell um: Das Opfer nutzt proaktiv ein vertrauenswurdiges Werkzeug, das die Phishing-Nutzlast aus dem Inneren von chatgpt.com heraus liefert.
Sicherheitsforscher haben darauf hingewiesen, dass ahnliche XPIA-Risiken wahrscheinlich auch in anderen KI-Assistenten bestehen, die externe Webinhalte zusammenfassen: Copilot, Gemini und Perplexity.
Die ChatGPhish-Entdeckung liefert ein weiteres Argument fur das Verschlusseln und Inspizieren des KI-Assistenten-Verkehrs in Unternehmen - einschliesslich der Seiten, die Mitarbeiter ihre KI-Tools abrufen und verarbeiten lassen. Verschlusselte Verbindungen reduzieren das Risiko von Datenlecks beim Umgang mit KI-Diensten.
