ChatGPhish — Markdown Renderer ChatGPT Mengubah Halaman Web yang Diringkas Menjadi Permukaan Phishing Langsung; Tidak Ada Patch Setelah 30 Hari

P0 Labs Permiso Security mengumumkan ChatGPhish pada 2026-05-29: fitur peringkasan web ChatGPT secara buta mempercayai tautan Markdown dan URL gambar yang berasal dari halaman pihak ketiga yang telah diringkas asisten, merender mereka sebagai elemen langsung yang dapat diklik di dalam antarmuka ChatGPT yang terpercaya tanpa pelabelan asal. Penyerang apa pun yang mengendalikan halaman web dapat menyematkan Markdown yang dikendalikan penyerang ke halaman itu; ketika korban meminta ChatGPT untuk meringkas halaman, respons asisten merender tautan phishing (tidak dapat dibedakan dari konten yang dihasilkan AI), sinyal gambar jarak jauh (telemetri pasif/pelacakan), peringatan bergaya sistem yang dipalsukan, dan pivot kode QR yang mengarahkan korban ke perangkat kedua melewati pertahanan URL desktop. Permiso melaporkan ke OpenAI melalui Bugcrowd pada 29 April, ditindaklanjuti 7 Mei, dan tidak menerima perbaikan sebelum pengungkapan publik 30 hari.

Penyerang menerbitkan atau memodifikasi halaman web apa pun dengan muatan Markdown tertanam kecil yang berisi URL dan tag gambar yang dikendalikan penyerang. Korban meminta ChatGPT ('ringkas URL ini'). Renderer ChatGPT mempercayai dan merender Markdown penyerang sebagai bagian dari respons miliknya sendiri — tidak ada interaksi pengguna di luar permintaan peringkasan standar yang diperlukan. Serangan ini melewati gateway email, kontrol DMARC, dan filter phishing karena pengiriman terjadi di dalam sesi HTTPS yang sah ke chatgpt.com.

Antarmuka web ChatGPT (chatgpt.com) dengan penjelajahan web/peringkasan yang diaktifkan; alur kerja perusahaan atau pengembang apa pun yang menggunakan ChatGPT untuk meringkas URL eksternal. Kelas kerentanan (kepercayaan renderer pada Markdown pihak ketiga) dapat berlaku untuk alat peringkasan AI lainnya termasuk Perplexity, Microsoft Copilot, dan Google Gemini — tekanan pengungkapan penelitian independen diperkirakan dalam 30–60 hari.

Tidak ada patch yang tersedia per 2026-05-30. Kontrol kompensasi segera: (1) Arahkan semua ringkasan yang dihasilkan AI melalui proxy web aman yang mencegat dan memeriksa URL yang dirender sebelum mencapai workstation analis. (2) Konfigurasikan isolasi browser untuk sesi chatgpt.com tempat analis secara rutin meringkas URL eksternal. (3) Perlakukan tautan yang muncul dalam ringkasan AI dari konten pihak ketiga sebagai tidak terpercaya hingga ChatGPT mengeluarkan perbaikan yang mengkonfirmasi pelabelan asal dan sanitasi Markdown untuk konten pihak ketiga. (4) Beri tahu tim SOC bahwa alur kerja intelijen ancaman menggunakan ChatGPT untuk menggolongkan URL eksternal sekarang merupakan vektor phishing potensial.