Новая уязвимость под названием ChatGPhish позволяет любой веб-странице превратить ChatGPT в живую фишинговую поверхность для атаки на собственных пользователей. Исследователи Permiso Security опубликовали демонстрацию атаки 29 мая 2026 года: ChatGPT рендерит Markdown-ссылки и QR-коды из сторонних веб-страниц, то есть сайт злоумышленника может внедрять поддельные предупреждения безопасности, вредоносные ссылки и мобильные QR-перенаправления прямо в чат-сессию жертвы через ChatGPT.
Как работает ChatGPhish: браузер доверяет ИИ, ИИ доверяет странице
Атака представляет собой Cross Prompt Injection Attack (XPIA), нацеленную на рендерер ответов ChatGPT. Когда пользователь просит ChatGPT резюмировать или проанализировать внешнюю веб-страницу, ИИ получает и обрабатывает содержимое страницы - включая любое Markdown-форматирование, встроенное владельцем страницы. ChatGPT затем рендерит это форматирование как отформатированный контент в своём интерфейсе, считая ссылки и изображения, внедрённые атакующим, исходящими от самого ИИ.
С точки зрения жертвы фишинговый контент выглядит как исходящий непосредственно от ChatGPT. Нет подозрительного URL, нет предупреждающего баннера - доверенный интерфейс chatgpt.com становится механизмом доставки атаки.
Три вектора атаки ChatGPhish
Исследователь Permiso Энди Ахмети продемонстрировал три различных вектора атаки, использующих одну и ту же уязвимость рендерера:
- Поддельные предупреждения безопасности OpenAI: внедрённый Markdown рендерится как стилизованная кнопка внутри интерфейса ChatGPT, имитируя официальные уведомления OpenAI. Клик ведёт на страницу кражи учётных данных злоумышленника.
- Мобильный переброс через QR-код: встроенные QR-коды, отрендеренные ChatGPT, перенаправляют атаку с десктопной сессии на смартфон жертвы - позволяя обойти защиту корпоративного браузера.
- Пиксели слежки: невидимые URL изображений, внедрённые через Markdown, автоматически загружаются при рендеринге, сливая IP-адрес жертвы, User Agent, заголовок Referer и тайминг сессии злоумышленнику.
Атака не требует вредоносного ПО, эксплойта браузера или компрометации аккаунта. Единственное условие - убедить цель попросить ChatGPT резюмировать подконтрольный атакующему URL.
OpenAI уведомлена в апреле - патча до сих пор нет
Ахмети раскрыл уязвимость ChatGPhish в OpenAI через платформу bug bounty Bugcrowd 29 апреля 2026 года. После 30 дней непродуктивных переговоров без конкретных сроков исправления Permiso опубликовала полные результаты исследования 29 мая 2026 года - применив ответственное раскрытие после истечения стандартного 30-дневного окна.
На момент публикации OpenAI не выпустила патч. Компания подтвердила получение отчёта, но не назвала дату исправления. Это означает, что каждый пользователь ChatGPT, просящий ИИ резюмировать внешнюю страницу, остаётся уязвимым для полного описанного вектора атаки.
Почему это важно: ИИ-ассистенты как фишинговая инфраструктура
ChatGPhish представляет структурный сдвиг в фишинговых рисках. Традиционный фишинг требует убедить цель кликнуть на подозрительную ссылку в письме или сообщении. ChatGPhish инвертирует модель: жертва сама проактивно использует доверенный инструмент, а тот доставляет фишинговую нагрузку изнутри домена - chatgpt.com - который браузеры, инструменты безопасности и пользователи считают авторитетным.
Особого внимания заслуживает переброс через QR-код. Он позволяет переместить фишинговую цепочку с десктопного браузера - где могут вмешаться корпоративные средства защиты, DNS-фильтры и расширения браузера - на личный смартфон без такой защиты. Жертва сканирует QR-код из того, что выглядит как легитимный ответ ChatGPT, и атака завершается на неуправляемом устройстве.
Исследователи безопасности указали, что аналогичные риски XPIA, вероятно, существуют в других ИИ-ассистентах, которые резюмируют внешний веб-контент: Copilot, Gemini и Perplexity. Ни один из них не изолирует полностью инструкции форматирования, встроенные в получаемые и обрабатываемые страницы.
Для организаций, управляющих корпоративным браузингом, раскрытие ChatGPhish добавляет весомый аргумент в пользу шифрования и инспекции трафика ИИ-ассистентов - включая то, какие страницы сотрудники просят свои ИИ-инструменты получить и обработать от их имени. Использование зашифрованного соединения снижает риск утечки данных при взаимодействии с ИИ-сервисами в корпоративных сетях.
