ChatGPhish: Как злоумышленники превращают ChatGPT в идеальный фишинговый инструмент

Поскольку ChatGPT недостаточно тщательно очищает Markdown-контент с веб-страниц перед его отображением, любая сторонняя страница, которую «читает» модель, становится потенциальным вектором для фишинга. Это не взлом серверов OpenAI — это уязвимость на стороне клиента, злоупотребляющая доверием пользователей к визуальному выводу ChatGPT в их браузере.

Родословная: Как атаки с промпт-инъекциями привели к ChatGPhish

ChatGPhish не возникла из ниоткуда. Это очередная глава в многолетней эскалации методов промпт-инъекций, которые следовали за каждой новой функцией, добавляемой в ChatGPT. Когда модель получала доступ в интернет, возможность выполнять код, поддержку плагинов и память, злоумышленники тут же находили новые способы для внедрения инструкций и кражи данных.

Вот ключевые вехи на пути к ChatGPhish:

• Ноябрь 2022 — Рождение промпт-инъекций: Термин был введен, а атака продемонстрирована на GPT-3 всего за 13 дней до запуска ChatGPT 30 ноября 2022 года. Уже через несколько часов после запуска пользователи обходили защитные ограничения ассистента с помощью ролевых сценариев .
• 2023–2024 — Непрямые инъекции и кража данных через Markdown: Исследователи обнаружили, что рендеринг изображений Markdown в ChatGPT можно использовать для утечки истории диалогов. Злоумышленники загружали вредоносные команды на публичные сайты, и когда ChatGPT взаимодействовал с ними, он отвечал Markdown-тегами изображений, которые автоматически отправляли запросы на внешние URL-адреса, передавая похищенные данные .
• Май 2024 — Кража персональных данных через функцию «Память»: Научная работа показала, что ChatGPT 4 и 4o были уязвимы для атак, позволяющих извлекать личные данные пользователей, а функция памяти лишь усиливала этот эффект .
• Март 2025 — CVE-2025-43714 (инъекция SVG/HTML): Было обнаружено, что ChatGPT отображает SVG-документы непосредственно в браузере, а не как текст внутри блока кода. Это позволяло злоумышленникам внедрять произвольный HTML и организовывать фишинговые атаки прямо в интерфейсе ChatGPT .
• Февраль–Март 2026 — Утечка данных через DNS и инъекции в изображения Markdown: Check Point раскрыла уязвимость в среде выполнения кода ChatGPT, позволявшую использовать DNS-туннелирование для кражи данных из диалогов. OpenAI исправила ее 20 февраля 2026 года. В том же месяце появился еще один вектор, использующий вредоносные ссылки на изображения Markdown для извлечения логов чата, системных инструкций и пользовательского ввода через DNS-запросы .
• Май 2026 — ChatGPhish: Эта уязвимость объединяет несколько направлений: непрямые инъекции, недоверенный рендеринг Markdown и функцию суммаризации страниц. Ключевой сдвиг в том, что ChatGPhish — это оружие для активного фишинга — размещения «живого» фишингового контента внутри доверенного интерфейса ChatGPT — а не просто для скрытой кражи данных .

Каждый шаг на этой временной шкале демонстрирует одну и ту же закономерность: новая функция ChatGPT открывает новую поверхность для атаки, а механизм отображения Markdown снова и снова оказывается слабым звеном, так как безоговорочно доверяет контенту с внешних страниц.

Реакция OpenAI на конец мая 2026 года

Согласно имеющимся на 29–30 мая 2026 года отчетам, компания Permiso Security публично раскрыла уязвимость ChatGPhish 29 мая, однако никаких публичных заявлений или патчей от OpenAI, касающихся именно этой уязвимости, на тот момент не поступало .

При этом OpenAI не бездействовала в плане безопасности в целом. В мае 2026 года компания разбиралась с двумя инцидентами, не связанными с ChatGPhish:

• 13 мая 2026 года — OpenAI опубликовала свой ответ на атаку на цепочку поставок npm-пакета TanStack (известную как «Мини Шаи-Хулуд»), подтвердив компрометацию двух устройств сотрудников, но заявив, что доступ к пользовательским данным не был получен .
• 14 мая 2026 года — Компания инициировала принудительное обновление своего macOS-приложения ChatGPT в рамках мер по сдерживанию той же атаки на цепочку поставок .

Пауза между раскрытием ChatGPhish и какой-либо реакцией со стороны OpenAI весьма существенна. Она оставляет функцию суммаризации веб-страниц в ChatGPT уязвимой, при этом публика уже осведомлена о фишинговом пути, для которого достаточно лишь попросить ChatGPT проанализировать специально подготовленную страницу.

Более широкий контекст и последствия

ChatGPhish — важный прецедент, поскольку атакует доверие к интерфейсу, которое и делает ИИ-ассистентов полезными. Когда ChatGPT просматривает сайт, делает сводку и показывает ссылки в своем интерфейсе, у пользователя нет визуальных подсказок, что эти ссылки исходят от недоверенной третьей стороны, а не от самой OpenAI.

Организациям, которые разрешают сотрудникам использовать веб-серфинг в ChatGPT, следует рассматривать его веб-сводки как потенциально опасный контент до тех пор, пока OpenAI не выпустит исправление. Уязвимость также подчеркивает архитектурное противоречие: ИИ-ассистентам, которые смешивают собственный интерфейс со сторонними данными, нужны системы отображения, которые по умолчанию считают весь внешний контент враждебным, а не просто текстом для показа.