기술 설명
Permiso Security의 P0 Labs가 2026-05-29에 ChatGPhish를 공개했습니다: ChatGPT의 웹 요약 기능은 어시스턴트가 요약한 타사 페이지에서 비롯된 마크다운 링크 및 이미지 URL을 무분별하게 신뢰하여 출처 표시 없이 신뢰할 수 있는 ChatGPT 인터페이스 내에서 활성화된 클릭 가능한 요소로 렌더링합니다. 웹페이지를 제어하는 모든 공격자가 공격자 제어 마크다운을 해당 페이지에 삽입할 수 있으며, 피해자가 ChatGPT에 페이지 요약을 요청하면 어시스턴트의 응답이 피싱 링크(AI 생성 콘텐츠와 구별 불가), 원격 이미지 비콘(수동 원격 분석/추적), 스푸핑된 시스템 스타일 경고 및 피해자를 데스크톱 URL 방어를 우회하는 두 번째 디바이스로 리다이렉트하는 QR 코드 피벗을 렌더링합니다. Permiso는 4월 29일 Bugcrowd를 통해 OpenAI에 보고했고, 5월 7일에 후속 조치를 했으며, 30일 공개 공개 전에 수정 사항을 받지 못했습니다.
공격 경로
공격자가 공격자 제어 URL 및 이미지 태그를 포함하는 작은 임베드된 마크다운 페이로드가 있는 웹페이지를 게시하거나 수정합니다. 피해자가 ChatGPT에 요청합니다('이 URL 요약'). ChatGPT의 렌더러가 공격자의 마크다운을 신뢰하고 자신의 응답의 일부로 렌더링합니다 — 표준 요약 프롬프트 이외의 사용자 상호작용이 필요하지 않습니다. 이 공격은 전달이 chatgpt.com에 대한 정상적인 HTTPS 세션 내에서 발생하기 때문에 이메일 게이트웨이, DMARC 제어 및 피싱 필터를 우회합니다.
영향받는 시스템
웹 브라우징/요약이 활성화된 ChatGPT 웹 인터페이스(chatgpt.com); 외부 URL을 요약하기 위해 ChatGPT를 사용하는 모든 엔터프라이즈 또는 개발자 워크플로우. 취약점 클래스(타사 마크다운에 대한 렌더러 신뢰)는 Perplexity, Microsoft Copilot 및 Google Gemini를 포함한 다른 AI 요약 도구에 적용될 수 있습니다 — 30–60일 내에 독립 연구 공개 압력이 예상됩니다.
완화 방안
2026-05-30 현재 사용 가능한 패치가 없습니다. 즉시 보상 제어: (1) 모든 AI 생성 요약을 분석가 워크스테이션에 도달하기 전에 렌더링된 URL을 차단하고 검사하는 보안 웹 프록시를 통해 라우팅합니다. (2) 분석가가 정기적으로 외부 URL을 요약하는 chatgpt.com 세션에 대해 브라우저 격리를 구성합니다. (3) ChatGPT가 출처 표시 및 타사 콘텐츠의 마크다운 삭제를 확인하는 수정 사항을 발행할 때까지 타사 콘텐츠의 AI 요약에 나타나는 링크를 신뢰할 수 없는 것으로 취급합니다. (4) SOC 팀에 외부 URL을 분류하기 위해 ChatGPT를 사용하는 위협 인텔리전스 워크플로우가 이제 잠재적 피싱 벡터임을 알립니다.