Уязвимость ChatGPhish позволяет использовать ChatGPT для фишинговых атак
МЕНЮ
Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей
ТЕМЫ
Новости ИИ
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Искусственный интеллект
Слежка за людьми
Угроза ИИ
ИИ теория
Компьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Нейронные сети начинающим
Психология ИИ
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Промпты. Генеративные запросы
Распознавание лиц
Распознавание образов
Распознавание речи
Творчество ИИ
Техническое зрение
Чат-боты
Авторизация
2026-06-03 12:02
Исследователи продемонстрировали, что злоумышленники могут внедрять фишинговые ссылки, поддельные предупреждения безопасности и даже QR-коды в ответы ChatGPT. Для атаки достаточно разместить специальный пейлоад на веб-странице, а затем нужно вынудить пользователя обратиться к ИИ, попросив его кратко пересказать содержимое страницы.
Детали проблемы, получившей название ChatGPhish, раскрыл специалист компании Permiso Security Энди Ахмети (Andi Ahmeti). Уязвимость связана с тем, что ChatGPT доверяет Markdown-разметке, полученной из внешних источников во время суммаризации страниц. В результате ссылки и изображения, встроенные атакующим на сайт, могут отображаться внутри ответа ИИ как легитимные элементы интерфейса.
По словам исследователя, chatgpt.com автоматически загружает изображения, на которые ссылается Markdown-разметка, и делает ссылки кликабельными. Это открывает сразу несколько сценариев злоупотребления. Например, при отображении ответа браузер может автоматически обратиться к серверу злоумышленника, раскрыв IP-адрес пользователя, User-Agent и другие данные.
Хуже того, атакующий может заставить ChatGPT вывести поддельное уведомление в фирменном стиле сервиса. Так, в демонстрации Ахмети после обычного пересказа страницы появлялось сообщение о том, что в аккаунт якобы вошли с нового устройства, а рядом размещалась ссылка «для проверки». Внешне она выглядела как штатное предупреждение безопасности OpenAI, однако вела на контролируемый злоумышленниками домен.
Аналогичным образом в ответ ИИ можно встроить QR-код. Если пользователь отсканирует его, он перейдет на вредоносный ресурс, причем адрес сайта не отображается в открытом виде.
Исследователь подчеркивает, что главная проблема заключается даже не в промпт-инжекте. Косвенные промпт-инжекты в ИИ-системах известны давно. Опасность проблемы ChatGPhish состоит в том, что инструкции с внешней веб-страницы не просто влияют на ответ модели, но и отображаются внутри доверенного интерфейса ChatGPT как часть легитимного контента.
Информация об уязвимости была передана специалистам OpenAI через Bugcrowd еще в апреле 2026 года. Сначала в OpenAI сообщили, что не смогли воспроизвести описанное поведение, а затем пометили отчет как дубликат. По словам исследователя, он пытался уточнить различия между своей находкой и уже существующим тикетом, однако не получил ответа. В результате, на момент публикации информации о ChatGPhish, уязвимость не была устранена.
Специалисты Permiso считают, что подобные атаки лишь подчеркивают проблему современных ИИ-систем. Если раньше злоумышленникам нужно было убедить жертву открыть вредоносное вложение или перейти по ссылке, теперь достаточно вынудить человека обратиться к ИИ, чтобы тот пересказал содержимое специально подготовленной страницы. По сути, обычная веб-страница превращается в носитель пейлоада, а ИИ-помощник — в участника фишинговой атаки.
«Не доверяйте ответам модели, — предупреждает Ахмети. — Любой контент, сгенерированный ИИ, следует рассматривать как потенциально недоверенный. Нужно исходить из того, что промпт-инжекты неизбежны».
Телеграм: t.me/ainewsline
Источник: xakep.ru