技术说明
Permiso Security的P0 Labs于2026年5月29日披露了ChatGPhish:ChatGPT的网络总结功能盲目信任来自助手已总结的第三方页面的Markdown链接和图像URL,将其呈现为受信任ChatGPT界面内的实时可点击元素,且无原点标签。任何控制网页的攻击者都可以将攻击者控制的Markdown嵌入该页面;当受害者要求ChatGPT总结该页面时,助手的响应呈现网络钓鱼链接(与AI生成内容无法区分)、远程图像信标(被动遥测/跟踪)、欺骗性系统风格警告和QR码枢纽,将受害者重定向到第二个设备,绕过桌面URL防御。Permiso于4月29日通过Bugcrowd向OpenAI报告,并在5月7日跟进,在30天公开披露前未收到修复。
攻击途径
攻击者发布或修改任何网页,其中包含含有攻击者控制的URL和图像标签的小型嵌入式Markdown有效负载。受害者要求ChatGPT("总结此URL")。ChatGPT的渲染器信任并呈现攻击者的Markdown作为其自有响应的一部分 — 除了标准总结提示外,不需要用户交互。该攻击绕过电子邮件网关、DMARC控制和网络钓鱼过滤器,因为交付发生在对chatgpt.com的合法HTTPS会话内。
受影响系统
启用网络浏览/总结的ChatGPT网络界面(chatgpt.com);任何使用ChatGPT总结外部URL的企业或开发者工作流。漏洞类别(渲染器信任第三方Markdown)可能适用于其他AI总结工具,包括Perplexity、Microsoft Copilot和Google Gemini — 预计在30-60天内会有独立研究披露压力。
缓解措施
截至2026年5月30日,无补丁可用。立即补偿性控制:(1)通过安全网络代理路由所有AI生成的总结,在呈现的URL到达分析人员工作站之前截获并检查它们。(2)为分析人员常规总结外部URL的chatgpt.com会话配置浏览器隔离。(3)在ChatGPT发布确认原点标签和第三方内容Markdown清理的修复之前,将AI总结的第三方内容中出现的链接视为不受信任。(4)提醒SOC团队,使用ChatGPT对外部URL进行分类的威胁情报工作流现已成为潜在的网络钓鱼向量。