技術的な説明
Permiso SecurityのP0 Labsは2026-05-29にChatGPhishを開示しました: ChatGPTのWeb要約機能は、アシスタントがサマライズした第三者ページから発信されたMarkdownリンクと画像URLを盲目的に信頼し、それらをオリジンラベリングなしでChatGPTの信頼できるインターフェース内でライブでクリック可能な要素としてレンダリングします。Webページを制御する攻撃者は誰でも攻撃者が制御するMarkdownをそのページに埋め込むことができ、被害者がChatGPTにページをサマライズするよう要求すると、アシスタントの応答はフィッシングリンク(AI生成コンテンツと区別がつかない)、リモート画像ビーコン(パッシブテレメトリ/追跡)、スプーフィングされたシステムスタイルアラート、および被害者をデスクトップURLディフェンスをバイパスする第二デバイスにリダイレクトするQRコードピボットをレンダリングします。Permisoは4月29日にBugcrowd経由でOpenAIに報告し、5月7日にフォローアップし、30日公開前に修正を受け取りませんでした。
攻撃経路
攻撃者は、攻撃者が制御するURLと画像タグを含む小さな埋め込みMarkdownペイロードを含むWebページを公開または変更します。被害者がChatGPTに要求します('このURLをサマライズしてください')。ChatGPTのレンダラーは攻撃者のMarkdownを信頼し、独自の応答の一部としてレンダリングします — 標準的なサマライズプロンプト以外のユーザーインタラクションは必要ありません。この攻撃は、配信がchatgpt.comへの正当なHTTPSセッション内で発生するため、メールゲートウェイ、DMARC制御、およびフィッシングフィルターをバイパスします。
影響を受けるシステム
Web閲覧/要約機能が有効なChatGPT Webインターフェース(chatgpt.com); 外部URLをサマライズするためにChatGPTを使用する任意のエンタープライズまたは開発者ワークフロー。この脆弱性クラス(第三者Markdownへのレンダラー信頼)は、Perplexity、Microsoft Copilot、およびGoogle Geminiを含む他のAI要約ツールに適用される可能性があります — 30~60日以内に独立した研究開示圧力が予想されます。
緩和策
2026-05-30現在、パッチは利用できません。即座の補完的制御: (1) すべてのAI生成要約をセキュアなWebプロキシを通じてルーティングします。これはレンダリングされたURLをインターセプトして検査し、アナリストワークステーションに到達する前に検査します。(2) アナリストが定期的に外部URLをサマライズするchatgpt.comセッション用にブラウザアイソレーションを構成します。(3) ChatGPTが第三者コンテンツのオリジンラベリングとMarkdownサニタイゼーションを確認する修正を発行するまで、第三者コンテンツのAI要約に表示されるリンクを信頼できないものとして扱います。(4) 外部URLをトリアージするためにChatGPTを使用する脅威インテリジェンスワークフローが潜在的なフィッシングベクトルであることについてSOCチームにアラートします。