Исследователи продемонстрировали, что злоумышленники могут внедрять фишинговые ссылки, поддельные предупреждения безопасности и даже QR-коды в ответы ChatGPT. Для атаки достаточно разместить специальный пейлоад на веб-странице, а затем нужно вынудить пользователя обратиться к ИИ, попросив его кратко пересказать содержимое страницы.
Детали проблемы, получившей название ChatGPhish, раскрыл специалист компании Permiso Security Энди Ахмети (Andi Ahmeti). Уязвимость связана с тем, что ChatGPT доверяет Markdown-разметке, полученной из внешних источников во время суммаризации страниц. В результате ссылки и изображения, встроенные атакующим на сайт, могут отображаться внутри ответа ИИ как легитимные элементы интерфейса.
По словам исследователя, chatgpt.com автоматически загружает изображения, на которые ссылается Markdown-разметка, и делает ссылки кликабельными. Это открывает сразу несколько сценариев злоупотребления. Например, при отображении ответа браузер может автоматически обратиться к серверу злоумышленника, раскрыв IP-адрес пользователя, User-Agent и другие данные.
Хуже того, атакующий может заставить ChatGPT вывести поддельное уведомление в фирменном стиле сервиса. Так, в демонстрации Ахмети после обычного пересказа страницы появлялось сообщение о том, что в аккаунт якобы вошли с нового устройства, а рядом размещалась ссылка «для проверки». Внешне она выглядела как штатное предупреждение безопасности OpenAI, однако вела на контролируемый злоумышленниками домен.
Аналогичным образом в ответ ИИ можно встроить QR-код. Если пользователь отсканирует его, он перейдет на вредоносный ресурс, причем адрес сайта не отображается в открытом виде.
Исследователь подчеркивает, что главная проблема заключается даже не в промпт-инжекте. Косвенные промпт-инжекты в ИИ-системах известны давно. Опасность проблемы ChatGPhish состоит в том, что инструкции с внешней веб-страницы не просто влияют на ответ модели, но и отображаются внутри доверенного интерфейса ChatGPT как часть легитимного контента.
Информация об уязвимости была передана специалистам OpenAI через Bugcrowd еще в апреле 2026 года. Сначала в OpenAI сообщили, что не смогли воспроизвести описанное поведение, а затем пометили отчет как дубликат. По словам исследователя, он пытался уточнить различия между своей находкой и уже существующим тикетом, однако не получил ответа. В результате, на момент публикации информации о ChatGPhish, уязвимость не была устранена.
Специалисты Permiso считают, что подобные атаки лишь подчеркивают проблему современных ИИ-систем. Если раньше злоумышленникам нужно было убедить жертву открыть вредоносное вложение или перейти по ссылке, теперь достаточно вынудить человека обратиться к ИИ, чтобы тот пересказал содержимое специально подготовленной страницы. По сути, обычная веб-страница превращается в носитель пейлоада, а ИИ-помощник — в участника фишинговой атаки.
«Не доверяйте ответам модели, — предупреждает Ахмети. — Любой контент, сгенерированный ИИ, следует рассматривать как потенциально недоверенный. Нужно исходить из того, что промпт-инжекты неизбежны».
