Die am 29. Mai 2026 von Permiso Security enthüllte Schwachstelle ChatGPhish missbraucht ChatGPTs Webseiten Zusammenfassungsfunktion, um gefälschte Links, Login Masken und QR Codes als legitime Assistenten Antworten au...

Create a landscape editorial hero image for this Studio Global article: How does the ChatGPhish vulnerability discovered by Permiso Security exploit ChatGPT's Markdown rendering to deliver phishing attacks throug. Article summary: Here is the answer based on the available reporting.. Topic tags: general, general web, academic, user generated. Reference image context from search candidates: Reference image 1: visual subject "In yet another "Your chatbot may be leaking" moment, researchers have uncovered multiple weaknesses in OpenAI's ChatGPT that could allow an attacker to exfiltrate private informati" source context "Multiple ChatGPT Security Bugs Allow Rampant Data Theft" Reference image 2: visual subject "Researchers at Check Point discovered that a single malicious prompt could exploit a hidden outbound channel within ChatGPT's code execution" source context "ChatGPT data leakage vul
Wenn ChatGPT eine Webseite für Sie zusammenfasst, vertrauen Sie vermutlich den Links und Schaltflächen, die in der Antwort erscheinen. Genau dieses Vertrauen macht sich die neu entdeckte Schwachstelle ChatGPhish zunutze.
Das Cybersicherheitsunternehmen Permiso Security hat diese browserbasierte Prompt-Injection-Technik am 29. Mai 2026 öffentlich gemacht . Im Gegensatz zu früheren Angriffen, die auf verdeckten Datendiebstahl abzielten, wird hier die vertraute Oberfläche des KI-Assistenten selbst zur Waffe: Angreifer können gefälschte Links, Login-Masken (Phishing-Seiten zum Abgreifen von Zugangsdaten) und Sicherheitswarnungen so darstellen, als wären sie legitime Antworten von ChatGPT.
Der Clou: Es genügt, eine präparierte Webseite von ChatGPT zusammenfassen zu lassen. Hier erfahren Sie, wie der Angriff abläuft, in welcher Tradition er steht und wie OpenAI bis zum Stichtag reagiert hat.
Der Angriff ist erschreckend einfach und zielt auf eine grundlegende Vertrauensannahme ab: Der ChatGPT-Renderer behandelt Markdown-Links und Bild-URLs, die von einer Drittanbieter-Seite stammen, automatisch als vertrauenswürdigen Inhalt. Bilder werden automatisch geladen, Links als klickbare Elemente direkt in der ChatGPT-Oberfläche angezeigt – ohne Sicherheitswarnung für den Nutzer .
Die Angriffskette läuft in drei Schritten ab:
Der entscheidende Fehler liegt in der unzureichenden Säuberung („Sanitization“) von Markdown-Inhalten: Alles, was ChatGPT auf einer externen Seite findet, wird potenziell zum Phishing-Vektor. Es handelt sich dabei nicht um einen Angriff auf die Server-Infrastruktur von OpenAI, sondern um eine Schwäche im clientseitigen Rendering, die das Vertrauen der Nutzer in die visuelle Darstellung von ChatGPT missbraucht.
ChatGPhish existiert nicht im luftleeren Raum. Es ist das jüngste Kapitel einer mehrjährigen Eskalation von Prompt-Injection-Techniken, die parallel zu jeder neuen Funktion von ChatGPT entstanden sind. Mit Web-Browsing, Code-Ausführung, Plugin-Unterstützung und Speicherfunktionen wuchsen auch die Angriffsflächen.
Hier die wichtigsten Wegmarken:
Das Muster ist stets dasselbe: Jede neue ChatGPT-Funktion eröffnet eine neue Angriffsfläche, und jedes Mal erweist sich der Markdown-Renderer als das schwächste Glied, weil er externen Seiten implizit vertraut.
Zum Zeitpunkt der Veröffentlichung von ChatGPhish durch Permiso Security am 29. Mai 2026 gab es von OpenAI kein öffentliches Statement und keinen Patch zu dieser spezifischen Schwachstelle .
Das bedeutet nicht, dass OpenAI in diesem Zeitraum in Sicherheitsfragen untätig war. Zwei andere, nicht mit ChatGPhish verwandte Vorfälle fielen ebenfalls in den Mai 2026:
Die Lücke zwischen der Enthüllung von ChatGPhish und einer Reaktion von OpenAI ist dennoch bemerkenswert. Öffentlich bekannt ist damit eine Phishing-Methode, für die ein Nutzer lediglich eine sorgfältig präparierte Webseite zusammenfassen lassen muss – mit ungewissem Ausgang für die Sicherheit der Betroffenen.
ChatGPhish ist deshalb so kritisch, weil es das grundlegende Vertrauen in die Benutzeroberfläche von KI-Assistenten angreift. Wenn ChatGPT im Web surft, eine Seite zusammenfasst und Links darstellt, gibt es für Nutzer keinen sichtbaren Hinweis darauf, dass diese Links von einer nicht vertrauenswürdigen Quelle stammen und nicht etwa von OpenAI selbst kuratiert wurden.
Bis OpenAI hier nachbessert, sollten Unternehmen, die ihren Mitarbeitern die Nutzung der Browsing-Funktionen von ChatGPT erlauben, die Web-Zusammenfassungen des Assistenten als potenziell gefährliche, ungeprüfte Inhalte behandeln.
Der Fall zeigt eine grundlegende architektonische Spannung auf: KI-Assistenten, die eigene Oberflächenelemente mit Inhalten aus Drittquellen mischen, benötigen Renderer, die sämtliche externen Daten als potenziell feindselig behandeln – und nicht nur als anzuzeigenden Text.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Die am 29. Mai 2026 von Permiso Security enthüllte Schwachstelle ChatGPhish missbraucht ChatGPTs Webseiten Zusammenfassungsfunktion, um gefälschte Links, Login Masken und QR Codes als legitime Assistenten Antworten au...
Die am 29. Mai 2026 von Permiso Security enthüllte Schwachstelle ChatGPhish missbraucht ChatGPTs Webseiten Zusammenfassungsfunktion, um gefälschte Links, Login Masken und QR Codes als legitime Assistenten Antworten au... Der Kern des Problems liegt im ChatGPT Renderer, der Markdown Inhalte von Drittanbieter Seiten ohne ausreichende Prüfung in vertrauenswürdige, klickbare Elemente umwandelt – ein Einfallstor für Phishing Angriffe [4].
ChatGPhish reiht sich in eine vierjährige Historie von Prompt Injection Schwachstellen ein, die von ersten dokumentierten Angriffen 2022 bis zu DNS basierten Datenabflüssen 2026 reicht; OpenAI hat sich zum Zeitpunkt d...