ChatGPhish: So missbrauchen Angreifer ChatGPTs Web-Summaries für Phishing

Der entscheidende Fehler liegt in der unzureichenden Säuberung („Sanitization“) von Markdown-Inhalten: Alles, was ChatGPT auf einer externen Seite findet, wird potenziell zum Phishing-Vektor. Es handelt sich dabei nicht um einen Angriff auf die Server-Infrastruktur von OpenAI, sondern um eine Schwäche im clientseitigen Rendering, die das Vertrauen der Nutzer in die visuelle Darstellung von ChatGPT missbraucht.

Die Vorgeschichte: Ein jahrelanger Wettlauf mit Prompt-Injection-Schwachstellen

ChatGPhish existiert nicht im luftleeren Raum. Es ist das jüngste Kapitel einer mehrjährigen Eskalation von Prompt-Injection-Techniken, die parallel zu jeder neuen Funktion von ChatGPT entstanden sind. Mit Web-Browsing, Code-Ausführung, Plugin-Unterstützung und Speicherfunktionen wuchsen auch die Angriffsflächen.

Hier die wichtigsten Wegmarken:

• November 2022 – Die Geburtsstunde der Prompt Injection: Der Begriff und erste Angriffe wurden nur 13 Tage vor dem Start von ChatGPT demonstriert. Bereits Stunden nach dem Start konnten Nutzer die Sicherheitsmechanismen durch geschickte Rollenspiel-Prompts umgehen .
• 2023–2024 – Indirekte Prompt Injection und Datenabfluss per Markdown: Forscher fanden heraus, dass sich die Markdown-Bilddarstellung von ChatGPT zum Abfluss von Chatdaten missbrauchen ließ. Über manipulierte externe Webseiten wurden Markdown-Bildbefehle eingeschleust, deren externer Bildabruf die abgezogenen Daten enthielt .
• Mai 2024 – Abfluss persönlicher Daten über die Speicherfunktion: Eine Studie zeigte, dass ChatGPT 4 und 4o verwundbar für Prompt-Injection-Angriffe waren, die persönliche Nutzerdaten auslesen konnten – eine Gefahr, die durch die damals neue Speicherfunktion noch verstärkt wurde .
• März 2025 – CVE-2025-43714 (SVG/HTML-Injection): ChatGPT stellte SVG-Dokumente nicht als reinen Text in Code-Blöcken dar, sondern rendert sie direkt im Browser. Dadurch konnten Angreifer beliebiges HTML einschleusen, was für Phishing im ChatGPT-Kontext ausgenutzt werden konnte .
• Februar–März 2026 – DNS-basierter Datendiebstahl: Check Point entdeckte eine Lücke in ChatGPTs Code-Ausführungsumgebung, die „DNS-Tunneling“ zum Abfluss von Unterhaltungen erlaubte. OpenAI stopfte diese Lücke am 20. Februar 2026. Ein weiterer Vektor nutzte im selben Zeitraum schädliche Markdown-Bildlinks, um Chatprotokolle und Nutzereingaben per DNS-Anfrage abzugreifen .
• Mai 2026 – ChatGPhish: Diese Schwachstelle bündelt mehrere Stränge: Indirekte Prompt-Injection, unzureichend gesicherte Markdown-Darstellung und die Web-Zusammenfassungsfunktion. Der entscheidende Wandel: ChatGPhish zielt nicht auf verdeckten Datendiebstahl ab, sondern auf aktives Phishing – mit live generierten, täuschend echt wirkenden Inhalten direkt im vertrauten ChatGPT-Fenster .

Das Muster ist stets dasselbe: Jede neue ChatGPT-Funktion eröffnet eine neue Angriffsfläche, und jedes Mal erweist sich der Markdown-Renderer als das schwächste Glied, weil er externen Seiten implizit vertraut.

So schweigsam war OpenAI bis Ende Mai 2026

Zum Zeitpunkt der Veröffentlichung von ChatGPhish durch Permiso Security am 29. Mai 2026 gab es von OpenAI kein öffentliches Statement und keinen Patch zu dieser spezifischen Schwachstelle .

Das bedeutet nicht, dass OpenAI in diesem Zeitraum in Sicherheitsfragen untätig war. Zwei andere, nicht mit ChatGPhish verwandte Vorfälle fielen ebenfalls in den Mai 2026:

• 13. Mai 2026 – OpenAI veröffentlichte sein Statement zum sogenannten „Mini Shai-Hulud“-Angriff, einer Supply-Chain-Attacke auf die weit verbreitete Open-Source-Bibliothek TanStack. Dabei wurden zwei Mitarbeiter-Geräte kompromittiert, Nutzerdaten waren nach Angaben des Unternehmens aber nicht betroffen .
• 14. Mai 2026 – Als Folgemaßnahme wurden alle macOS-Nutzer der ChatGPT-App zu einem Update gezwungen, um jeden noch so unwahrscheinlichen Missbrauch von möglicherweise kompromittierten Code-Zertifikaten zu unterbinden .

Die Lücke zwischen der Enthüllung von ChatGPhish und einer Reaktion von OpenAI ist dennoch bemerkenswert. Öffentlich bekannt ist damit eine Phishing-Methode, für die ein Nutzer lediglich eine sorgfältig präparierte Webseite zusammenfassen lassen muss – mit ungewissem Ausgang für die Sicherheit der Betroffenen.

Das größere Bild: Vertrauensverlust in die KI-Oberfläche

ChatGPhish ist deshalb so kritisch, weil es das grundlegende Vertrauen in die Benutzeroberfläche von KI-Assistenten angreift. Wenn ChatGPT im Web surft, eine Seite zusammenfasst und Links darstellt, gibt es für Nutzer keinen sichtbaren Hinweis darauf, dass diese Links von einer nicht vertrauenswürdigen Quelle stammen und nicht etwa von OpenAI selbst kuratiert wurden.

Bis OpenAI hier nachbessert, sollten Unternehmen, die ihren Mitarbeitern die Nutzung der Browsing-Funktionen von ChatGPT erlauben, die Web-Zusammenfassungen des Assistenten als potenziell gefährliche, ungeprüfte Inhalte behandeln.

Der Fall zeigt eine grundlegende architektonische Spannung auf: KI-Assistenten, die eigene Oberflächenelemente mit Inhalten aus Drittquellen mischen, benötigen Renderer, die sämtliche externen Daten als potenziell feindselig behandeln – und nicht nur als anzuzeigenden Text.