Uma vulnerabilidade recentemente descoberta chamada ChatGPhish permite que qualquer pagina web transforme o ChatGPT em uma superficie de phishing ativa contra seus proprios usuarios. Pesquisadores da Permiso Security publicaram demonstracoes proof-of-concept em 29 de maio de 2026, mostrando que o ChatGPT renderiza links Markdown e codigos QR de paginas web de terceiros. Um site controlado por um atacante pode injetar alertas de seguranca falsos, links maliciosos e codigos QR de redirecionamento movel diretamente na sessao ChatGPT de uma vitima.
Como funciona o ChatGPhish: o navegador confia na IA, a IA confia na pagina
O ataque e um Cross Prompt Injection Attack (XPIA) contra o renderizador de respostas do ChatGPT. Quando um usuario pede ao ChatGPT para resumir ou analisar uma pagina web externa, a IA busca e processa o conteudo da pagina, incluindo qualquer formatacao Markdown incorporada. O ChatGPT renderiza essa formatacao como conteudo em sua propria interface, tratando links injetados pelo atacante como se viessem da propria IA.
Tres vetores de ataque do ChatGPhish
- Falsos alertas de seguranca da OpenAI: O Markdown injetado e renderizado como um botao estilizado que imita notificacoes oficiais da OpenAI.
- Pivot de QR code para celular: Codigos QR inline renderizados pelo ChatGPT redirecionam o ataque da sessao de desktop para o smartphone da vitima.
- Pixels de rastreamento: URLs de imagens invisiveis se auto-carregam ao renderizar, vazando IP, User Agent e timing para o atacante.
OpenAI notificada em abril - ainda sem patch
O pesquisador Andi Ahmeti divulgou a vulnerabilidade ChatGPhish a OpenAI via Bugcrowd em 29 de abril de 2026. Apos 30 dias sem cronograma de correcao, a Permiso publicou suas descobertas completas em 29 de maio de 2026. Na data de publicacao, a OpenAI nao lancou nenhum patch.
Por que isso importa: assistentes de IA como infraestrutura de phishing
ChatGPhish representa uma mudanca estrutural no risco de phishing. O phishing tradicional requer convencer os alvos a clicar em links suspeitos. O ChatGPhish inverte o modelo: a vitima usa proativamente uma ferramenta confiavel, e essa ferramenta entrega o payload de phishing de dentro do chatgpt.com.
A descoberta do ChatGPhish acrescenta peso ao argumento para criptografar o trafego dos assistentes de IA em ambientes corporativos. O uso de conexoes criptografadas reduz a exposicao durante interacoes com servicos de IA em redes corporativas.
