Bagaimana ChatGPhish Menyulap Halaman Web Biasa Jadi Umpan Phishing di ChatGPT

Karena ChatGPT tidak cukup membersihkan konten Markdown dari halaman web sebelum merendernya, halaman pihak ketiga mana pun yang dijelajahi model menjadi vektor phishing potensial. Ini bukan eksploit sisi server pada infrastruktur OpenAI—ini adalah kelemahan rendering sisi klien yang menyalahgunakan kepercayaan berbasis browser yang diberikan pengguna pada tampilan visual ChatGPT.

Garis Keturunan: Cacat Injeksi Prompt yang Mengarah ke ChatGPhish

ChatGPhish tidak muncul begitu saja. Ini adalah babak terbaru dalam eskalasi teknik injeksi prompt selama bertahun-tahun yang mengikuti setiap kemampuan baru yang ditambahkan OpenAI ke ChatGPT. Saat model memperoleh penjelajahan web, eksekusi kode, dukungan plugin, dan memori, penyerang menemukan permukaan baru untuk menyuntikkan instruksi dan mengeksfiltrasi data.

Berikut adalah tonggak penting dalam perjalanan menuju ChatGPhish:

• November 2022 — Lahirnya injeksi prompt: Injeksi prompt dinamai dan didemonstrasikan terhadap GPT-3 hanya 13 hari sebelum ChatGPT diluncurkan pada 30 November 2022. Dalam hitungan jam setelah peluncuran, pengguna melewati lapisan keamanan asisten melalui pembingkaian persona dan permainan peran .
• 2023–2024 — Injeksi prompt tidak langsung dan eksfiltrasi data berbasis Markdown: Para peneliti menemukan bahwa rendering gambar Markdown ChatGPT dapat disalahgunakan untuk membocorkan data percakapan. Penyerang mengunggah prompt berbahaya ke situs web publik; ketika ChatGPT berinteraksi dengannya, ia merespons dengan tag gambar Markdown yang secara otomatis mengambil URL eksternal yang berisi data yang dieksfiltrasi .
• Mei 2024 — Eksfiltrasi data pribadi melalui memori: Sebuah makalah penelitian menunjukkan bahwa ChatGPT 4 dan 4o rentan terhadap serangan injeksi prompt yang dapat mengambil data pribadi pengguna, dengan fitur memori asisten memperkuat paparan tersebut .
• Maret 2025 — CVE-2025-43714 (Injeksi SVG/HTML): ChatGPT ditemukan merender dokumen SVG secara inline di browser web alih-alih menampilkannya sebagai teks biasa di blok kode. Ini memungkinkan penyerang menyuntikkan HTML arbitrer yang dapat dimanfaatkan untuk serangan phishing langsung di dalam antarmuka ChatGPT .
• Februari–Maret 2026 — Eksfiltrasi data berbasis DNS dan injeksi gambar Markdown: Check Point mengungkap kerentanan di lingkungan eksekusi kode ChatGPT yang mengizinkan tunneling DNS untuk menyedot data percakapan. OpenAI menambalnya pada 20 Februari 2026. Vektor terpisah muncul di bulan yang sama menggunakan tautan gambar Markdown berbahaya untuk mengeksfiltrasi log obrolan, prompt sistem, dan input pengguna melalui kueri DNS .
• Mei 2026 — ChatGPhish: Kerentanan ini mensintesis beberapa utas: injeksi prompt tidak langsung, rendering Markdown yang tidak tepercaya, dan fitur peringkasan halaman. Pergeseran kuncinya adalah ChatGPhish dipersenjatai untuk phishing aktif — menyajikan konten phishing langsung di dalam antarmuka ChatGPT yang tepercaya — alih-alih murni untuk eksfiltrasi data secara diam-diam .

Setiap langkah dalam garis waktu ini menunjukkan pola yang sama: kemampuan baru ChatGPT membuka permukaan injeksi baru, dan perender Markdown berulang kali terbukti menjadi mata rantai terlemah karena secara implisit memercayai konten dari halaman eksternal.

Respons OpenAI per Akhir Mei 2026

Per 29–30 Mei 2026, pelaporan yang tersedia mendokumentasikan pengungkapan publik ChatGPhish oleh Permiso Security pada 29 Mei, tetapi tidak ada pernyataan publik atau tambalan dari OpenAI yang spesifik untuk kerentanan ini yang dilaporkan .

OpenAI tidak tinggal diam dalam hal keamanan selama periode ini. Perusahaan menangani dua insiden terpisah pada Mei 2026 yang tidak terkait dengan ChatGPhish:

• 13 Mei 2026 — OpenAI menerbitkan responsnya terhadap serangan rantai pasokan TanStack npm (dikenal sebagai "Mini Shai-Hulud"), mengonfirmasi bahwa dua perangkat karyawan disusupi tetapi tidak ada data pengguna yang diakses .
• 14 Mei 2026 — Perusahaan memaksa pembaruan untuk aplikasi macOS ChatGPT sebagai bagian dari penahanan insiden rantai pasokan yang sama .

Kesenjangan antara pengungkapan ChatGPhish dan pengakuan apa pun dari OpenAI sangat signifikan. Ini membuat permukaan peringkasan web ChatGPT terekspos untuk sementara, dengan publik sekarang menyadari jalur phishing yang hanya membutuhkan pengguna yang meminta ChatGPT untuk merangkum halaman web yang disiapkan secara cermat.

Konteks dan Implikasi yang Lebih Luas

ChatGPhish penting karena menyerang kepercayaan antarmuka yang membuat asisten AI berguna. Ketika ChatGPT menjelajahi web, merangkum sebuah halaman, dan menyajikan tautan di dalam antarmukanya sendiri, pengguna tidak memiliki sinyal visual bahwa tautan tersebut berasal dari pihak ketiga yang tidak tepercaya dan bukan dari OpenAI itu sendiri.

Organisasi yang mengizinkan karyawan menggunakan fitur penjelajahan ChatGPT harus memperlakukan ringkasan web sebagai sumber konten yang tidak tepercaya hingga OpenAI merilis perbaikan. Kerentanan ini juga menyoroti ketegangan arsitektural yang berulang: asisten AI yang memadukan antarmuka pihak pertama dengan data pihak ketiga membutuhkan perender yang memperlakukan semua konten eksternal sebagai sesuatu yang berpotensi berbahaya, bukan hanya sebagai teks tampilan.