2026年5月29日にPermiso Securityが公開したChatGPhishは、ChatGPTがMarkdownを無条件に信頼する点を悪用し、AIの回答内にフィッシングリンクや偽のセキュリティ警告を表示させる、ブラウザベースのプロンプトインジェクション攻撃です。 この脆弱性は、2022年に初めて名前が付けられたプロンプトインジェクションから、2026年のDNSベースのデータ窃取に至るまでの、4年にわたる攻撃の進化の最新形です。公表時点で、OpenAIはまだこの問題に対する見解や修正パッチを発表していません。

Create a landscape editorial hero image for this Studio Global article: How does the ChatGPhish vulnerability discovered by Permiso Security exploit ChatGPT's Markdown rendering to deliver phishing attacks throug. Article summary: Here is the answer based on the available reporting.. Topic tags: general, general web, academic, user generated. Reference image context from search candidates: Reference image 1: visual subject "In yet another "Your chatbot may be leaking" moment, researchers have uncovered multiple weaknesses in OpenAI's ChatGPT that could allow an attacker to exfiltrate private informati" source context "Multiple ChatGPT Security Bugs Allow Rampant Data Theft" Reference image 2: visual subject "Researchers at Check Point discovered that a single malicious prompt could exploit a hidden outbound channel within ChatGPT's code execution" source context "ChatGPT data leakage vul
ChatGPTがWebページを要約し、その中に表示されたリンクやボタンを、あなたはAIの回答の一部として当然のように信頼するでしょう。その信頼こそが、ChatGPhishと呼ばれる新たな脆弱性によって悪用される対象です。
2026年5月29日にPermiso Securityによって公開されたChatGPhishは、ChatGPTのWebページ要約機能をフィッシング(Phishing)攻撃の配信手段に変える、ブラウザベースのプロンプトインジェクション手法です 。これまでの攻撃がひそかにデータを盗み出すことに主眼を置いていたのに対し、この攻撃は、AIアシスタント自身のインターフェースを武器に変え、攻撃者が仕込んだリンクや偽のログインフォーム、なりすましのセキュリティ警告を、さもChatGPTの正規の出力であるかのように表示します。ここでは、その仕組み、この攻撃に至るまでのプロンプトインジェクションの系譜、そして公表時点でOpenAIが明らかにしていたこと(といなかったこと)を解説します。
この攻撃が効果的なのは、ChatGPTの根本的な信頼の前提を突いているからです。それは、「ChatGPTの応答レンダラーは、第三者のWebページに由来するMarkdownのリンクや画像URLを信頼できるコンテンツとして扱い、画像を自動取得し、リンクをクリック可能な要素としてAI自身のUI内に表示する」という点です 。
攻撃は以下の3段階で成立します。
ChatGPTがWebページのMarkdownコンテンツを表示前に十分に無害化(サニタイズ)しないために、モデルが閲覧するあらゆる第三者のページがフィッシングの踏み台になり得るのです。これはOpenAIのサーバーインフラを狙った攻撃ではなく、ユーザーがChatGPTの視覚的な出力に対して抱く「ブラウザ上の信頼」を悪用する、クライアントサイドのレンダリングの弱点です。
ChatGPhishは突然現れたわけではありません。ChatGPTに新機能(Webブラウジング、コード実行、プラグイン、メモリ機能など)が追加されるたびに、攻撃者はその隙を突いて命令を注入し、データを盗み出す手法を編み出してきました。その長年にわたる攻撃の進化の最新章が、この脆弱性です。
ChatGPhishに至るまでの主な節目は以下の通りです。
この年表が示すのは、ChatGPTに新機能が追加されるたびに新たなプロンプトの「注入経路」が生まれ、そのたびにMarkdownレンダラーが外部ページのコンテンツを無条件に信頼する「ウィークポイント」として繰り返し問題になってきた、というパターンです。
2026年5月29日から30日にかけての時点で、入手可能な報告によれば、Permiso Securityが5月29日にChatGPhishに関する詳細を公表しましたが、この脆弱性に特化したOpenAIからの公式声明や修正パッチの発表は報告されていませんでした 。
この間もOpenAIがセキュリティ対策に手をこまねいていたわけではなく、ChatGPhishとは無関係の二つのインシデント対応に追われていました。
ChatGPhishの公開と、OpenAIからの公式認識との間にギャップがあることは重大です。この間、ChatGPTのWeb要約機能は無防備な状態に置かれており、ユーザーが巧妙に細工されたWebページの要約をChatGPTに依頼するだけで攻撃が成立する経路が、世間に知れ渡っている状態だったからです。
ChatGPhishが深刻な問題である理由は、AIアシスタントを有用なものにしているユーザーインターフェース(UI)への信頼そのものを攻撃対象にしているからです。ChatGPTがWebを閲覧し、ページを要約し、自身のUI内にリンクを表示するとき、ユーザーは、そのリンクがOpenAI自身ではなく、信頼できない第三者から来たものだという視覚的な手がかりを一切得られません。
OpenAIが修正プログラムをリリースするまでは、従業員にChatGPTのブラウジング機能の使用を許可している組織は、Web要約機能を「信頼できないコンテンツソース」として扱うべきです。この脆弱性は、AIアシスタントが自社のUIとサードパーティのデータを融合させる際、すべての外部コンテンツを単なる表示テキストとしてではなく、潜在的に有害なものとして扱うレンダラーが必要だという、繰り返し浮上するアーキテクチャ上の緊張関係を浮き彫りにしています。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026年5月29日にPermiso Securityが公開したChatGPhishは、ChatGPTがMarkdownを無条件に信頼する点を悪用し、AIの回答内にフィッシングリンクや偽のセキュリティ警告を表示させる、ブラウザベースのプロンプトインジェクション攻撃です。
2026年5月29日にPermiso Securityが公開したChatGPhishは、ChatGPTがMarkdownを無条件に信頼する点を悪用し、AIの回答内にフィッシングリンクや偽のセキュリティ警告を表示させる、ブラウザベースのプロンプトインジェクション攻撃です。 この脆弱性は、2022年に初めて名前が付けられたプロンプトインジェクションから、2026年のDNSベースのデータ窃取に至るまでの、4年にわたる攻撃の進化の最新形です。公表時点で、OpenAIはまだこの問題に対する見解や修正パッチを発表していません。
根本的な弱点は、ChatGPTの応答レンダラーが、第三者のWebページに由来するMarkdownリンクや画像を、OpenAI自身の信頼できるUI要素として表示してしまう点にあります。これにより、AIが閲覧するあらゆるWebページがフィッシングの踏み台になり得ます。