الإجاباتمنشورقبل 5 أيامLast edited قبل 5 أيام22 المصادر

ثغرة ChatGPhish: كيف يحول المخترقون ملخصات ChatGPT إلى كمائن تصيد احتيالي

ثغرة ChatGPhish، التي كشفت عنها شركة Permiso Security في 29 مايو 2026، هي هجوم حقن أوامر عبر المتصفح يستغل ثقة ChatGPT في روابط وصور Markdown لتقديم روابط تصيد وتنبيهات أمنية مزيفة داخل واجهة المستخدم [4]. تمثل الثغرة أحدث حلقات سلسلة من هجمات حقن الأوامر استمرت أربع سنوات، بدءًا من أول هجوم مسمى في 2022 ووصولًا إلى...

ابحث وتحقق من الحقائق مع Studio Global AI تصفّح المزيد من الصفحات الرائجة

269K0

ChatGPhish vulnerability illustration showing ChatGPT interface with a phishing web hook sinking into a web page full of hidden Markdown links — How does the ChatGPhish vulnerability discovered by Permiso Security exploit ChatGPT's Markdown rendering to deliver phishing attacks througChatGPhish uses ChatGPT’s own Markdown renderer to present attacker-controlled links as trusted assistant responses. Credit: GPT Image 1.5 / Studio Global.
موجّه الذكاء الاصطناعي
Create a landscape editorial hero image for this Studio Global article: How does the ChatGPhish vulnerability discovered by Permiso Security exploit ChatGPT's Markdown rendering to deliver phishing attacks throug. Article summary: Here is the answer based on the available reporting.. Topic tags: general, general web, academic, user generated. Reference image context from search candidates: Reference image 1: visual subject "In yet another "Your chatbot may be leaking" moment, researchers have uncovered multiple weaknesses in OpenAI's ChatGPT that could allow an attacker to exfiltrate private informati" source context "Multiple ChatGPT Security Bugs Allow Rampant Data Theft" Reference image 2: visual subject "Researchers at Check Point discovered that a single malicious prompt could exploit a hidden outbound channel within ChatGPT's code execution" source context "ChatGPT data leakage vul
openai.com

عندما يلخص ChatGPT صفحة ويب، فإنك تثق بالروابط والأزرار التي تراها في رده. هذه الثقة هي بالضبط ما تستغله ثغرة ChatGPhish.

كشفت شركة Permiso Security المتخصصة في الأمن السيبراني عن ثغرة ChatGPhish في 29 مايو 2026، وهي تقنية حقن أوامر عبر المتصفح تحول خاصية تلخيص صفحات الويب في ChatGPT إلى منصة لتوصيل هجمات التصيد . على عكس الهجمات السابقة التي ركزت على سرقة البيانات بشكل خفي، تستخدم هذه الثغرة واجهة المساعد الذكي نفسه لتقديم روابط يتحكم فيها المخترق، ونماذج تسجيل دخول مزيفة، وتنبيهات أمنية تبدو كأنها جزء أصيل من ردود ChatGPT. فيما يلي آلية عملها، وتاريخ ثغرات حقن الأوامر التي مهدت لها، وما قالته (وما لم تقله) OpenAI حتى تاريخ الكشف.

كيف تتلاعب ChatGPhish بمُصيّر Markdown في ChatGPT؟

الهجوم بسيط لكنه فعال لأنه يستهدف افتراضًا أساسيًا بالثقة: وهو أن مُصيّر الردود في ChatGPT يتعامل مع روابط وصور Markdown القادمة من صفحات الطرف الثالث على أنها محتوى موثوق، فيقوم بجلب الصور تلقائيًا ويعرض الروابط كعناصر حية قابلة للنقر داخل واجهة المستخدم الخاصة بالمساعد .

تسير سلسلة الهجوم عبر ثلاث مراحل:

إعداد صفحة خبيثة — يستضيف المخترق صفحة ويب تحتوي على روابط Markdown مخفية، وصور، وتنبيهات أمنية مزيفة مصممة لتبدو مقنعة. تبدو الصفحة طبيعية لأي زائر عادي، لكنها تخفي بداخلها تعليمات صُممت ليتم تحليلها بواسطة نظام التلخيص في ChatGPT.
تحفيز عملية التلخيص — يطلب المستخدم من ChatGPT تلخيص الصفحة. يقوم ChatGPT بمعالجة محتوى الصفحة، والأهم من ذلك، يفسر حمولة Markdown التي أعدها المخترق كجزء من مخرجات الرد الشرعية.
توصيل طُعم التصيد — داخل واجهة ChatGPT الموثوقة، تظهر روابط وتنبيهات المخترق كمحتوى طبيعي من المساعد. المستخدم الذي ينقر على رابط أو يتبع تعليمات ما يظن أنه إجراء أوصى به ChatGPT، يتم توجيهه إلى صفحة لجمع بيانات الدخول، أو رابط لتحميل برمجيات خبيثة، أو رمز استجابة سريعة (QR Code) يقوده إلى موقع تصيد .

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

ابحث وتحقق من الحقائق مع Studio Global AI

يسأل الناس أيضا

ما هي الإجابة المختصرة على "ثغرة ChatGPhish: كيف يحول المخترقون ملخصات ChatGPT إلى كمائن تصيد احتيالي"؟

ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟

ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟

تكمن المشكلة الأساسية في آلية عرض الردود في ChatGPT، التي تتعامل مع روابط وصور Markdown القادمة من صفحات خارجية على أنها عناصر موثوقة، مما يحول أي صفحة ويب يزورها النموذج إلى مصدر محتمل لهجمات التصيد [4].

المصادر

Comments

0 comments

Loading comments...