Una vulnerabilita recentemente scoperta denominata ChatGPhish consente a qualsiasi pagina web di trasformare ChatGPT in una superficie di phishing attiva contro i propri utenti. I ricercatori di Permiso Security hanno pubblicato dimostrazioni proof-of-concept il 29 maggio 2026, dimostrando che ChatGPT renderizza link Markdown e codici QR provenienti da pagine web di terze parti. Un sito controllato da un attaccante puo iniettare false avvisi di sicurezza, link malevoli e codici QR di reindirizzamento mobile direttamente nella sessione ChatGPT di una vittima.
Come funziona ChatGPhish: il browser si fida dell'IA, l'IA si fida della pagina
L'attacco e un Cross Prompt Injection Attack (XPIA) contro il motore di rendering delle risposte di ChatGPT. Quando un utente chiede a ChatGPT di riassumere o analizzare una pagina web esterna, l'IA recupera e processa il contenuto della pagina, inclusa qualsiasi formattazione Markdown incorporata. ChatGPT renderizza poi tale formattazione come contenuto nella propria interfaccia, trattando i link iniettati dall'attaccante come se provenissero dall'IA stessa.
Tre vettori di attacco di ChatGPhish
- Falsi avvisi di sicurezza OpenAI: Il Markdown iniettato viene renderizzato come un pulsante stilizzato che imita le notifiche ufficiali di OpenAI.
- Pivot QR code verso mobile: I codici QR inline renderizzati da ChatGPT reindirizzano l'attacco dalla sessione desktop allo smartphone della vittima.
- Pixel di tracciamento: URL di immagini invisibili si auto-caricano al rendering, rivelando IP, User Agent e timing all'attaccante.
OpenAI notificata ad aprile - ancora nessuna patch
Il ricercatore Andi Ahmeti ha divulgato la vulnerabilita ChatGPhish a OpenAI tramite Bugcrowd il 29 aprile 2026. Dopo 30 giorni senza un piano di correzione, Permiso ha pubblicato i risultati completi il 29 maggio 2026. Alla data di pubblicazione, OpenAI non ha rilasciato alcuna patch.
Perche e importante: gli assistenti IA come infrastruttura di phishing
ChatGPhish rappresenta un cambiamento strutturale nel rischio di phishing. Il phishing tradizionale richiede di convincere le vittime a cliccare su link sospetti. ChatGPhish inverte il modello: la vittima utilizza proattivamente uno strumento di fiducia, e quello strumento consegna il payload di phishing dall'interno di chatgpt.com.
La scoperta di ChatGPhish aggiunge peso all'argomento per cifrare il traffico degli assistenti IA in ambienti aziendali. L'utilizzo di connessioni cifrate riduce l'esposizione durante le interazioni con i servizi IA nelle reti aziendali.
