ChatGPhish, do Permiso Security công bố ngày 29/5/2026, là một cuộc tấn công prompt injection trên trình duyệt, khai thác niềm tin ngầm của ChatGPT vào Markdown để chèn link lừa đảo, cảnh báo bảo mật giả và mã QR ngay... Đây là bước leo thang mới nhất trong chuỗi bốn năm lỗ hổng prompt injection – từ cuộc tấn công đ...

Create a landscape editorial hero image for this Studio Global article: How does the ChatGPhish vulnerability discovered by Permiso Security exploit ChatGPT's Markdown rendering to deliver phishing attacks throug. Article summary: Here is the answer based on the available reporting.. Topic tags: general, general web, academic, user generated. Reference image context from search candidates: Reference image 1: visual subject "In yet another "Your chatbot may be leaking" moment, researchers have uncovered multiple weaknesses in OpenAI's ChatGPT that could allow an attacker to exfiltrate private informati" source context "Multiple ChatGPT Security Bugs Allow Rampant Data Theft" Reference image 2: visual subject "Researchers at Check Point discovered that a single malicious prompt could exploit a hidden outbound channel within ChatGPT's code execution" source context "ChatGPT data leakage vul
Khi ChatGPT tóm tắt một trang web, bạn thường tin tưởng vào các đường link và nút bấm xuất hiện trong câu trả lời. Chính sự tin tưởng đó là thứ mà lỗ hổng ChatGPhish nhắm đến.
Được công bố bởi công ty bảo mật Permiso Security vào ngày 29 tháng 5 năm 2026, ChatGPhish là một kỹ thuật prompt injection trên nền tảng trình duyệt, biến tính năng tóm tắt trang web của ChatGPT thành một kênh phát tán lừa đảo (phishing) . Không giống các cuộc tấn công trước đây tập trung vào việc đánh cắp dữ liệu một cách bí mật, lỗ hổng này vũ khí hóa chính giao diện của trợ lý AI để hiển thị các đường link, biểu mẫu đăng nhập giả và cảnh báo bảo mật do kẻ tấn công kiểm soát như thể chúng là nội dung hợp lệ từ ChatGPT. Dưới đây là cách nó hoạt động, tiền thân từ các lỗi prompt injection, và OpenAI đã (hay chưa) phản hồi gì tính đến ngày công bố.
Cách tấn công rất đơn giản nhưng cực kỳ hiệu quả vì nó nhắm vào một giả định cơ bản về niềm tin: trình kết xuất phản hồi của ChatGPT coi các link Markdown và URL hình ảnh có nguồn gốc từ trang của bên thứ ba là nội dung đáng tin cậy, tự động tải hình ảnh và hiển thị link dưới dạng các phần tử có thể nhấp được ngay trong giao diện người dùng của trợ lý .
Chuỗi tấn công diễn ra theo ba giai đoạn:
Vì ChatGPT không làm sạch (sanitize) nội dung Markdown từ các trang web trước khi hiển thị, bất kỳ trang nào của bên thứ ba mà mô hình duyệt qua đều trở thành một vector lừa đảo tiềm năng. Đây không phải là một vụ khai thác từ phía máy chủ của OpenAI, mà là một điểm yếu trong khâu kết xuất ở phía máy khách (client-side), lợi dụng lòng tin mà người dùng đặt vào giao diện trực quan của ChatGPT.
ChatGPhish không tự nhiên xuất hiện. Đây là hồi mới nhất trong nhiều năm leo thang của các kỹ thuật prompt injection, theo sát từng năng lực mới mà OpenAI bổ sung cho ChatGPT. Khi mô hình có thêm khả năng duyệt web, thực thi mã, hỗ trợ plugin và ghi nhớ, kẻ tấn công liền tìm ra những bề mặt mới để tiêm nhiễm hướng dẫn và đánh cắp dữ liệu.
Dưới đây là những cột mốc quan trọng trên hành trình dẫn tới ChatGPhish:
Mỗi bước trong dòng thời gian này đều cho thấy một khuôn mẫu chung: mỗi năng lực mới của ChatGPT lại mở ra một bề mặt tiêm nhiễm mới, và trình kết xuất Markdown liên tục chứng tỏ là mắt xích yếu nhất vì nó ngầm tin tưởng nội dung từ các trang bên ngoài.
Tính đến ngày 29–30 tháng 5 năm 2026, các báo cáo hiện có ghi nhận việc Permiso Security công khai lỗ hổng ChatGPhish vào ngày 29 tháng 5, nhưng chưa có tuyên bố hay bản vá công khai nào từ OpenAI liên quan cụ thể đến lỗ hổng này .
Trong giai đoạn này, OpenAI không hề án binh bất động về mặt bảo mật. Công ty đã xử lý hai sự cố riêng biệt trong tháng 5/2026, không liên quan đến ChatGPhish:
Khoảng trống giữa thời điểm ChatGPhish bị công khai và bất kỳ phản hồi nào từ OpenAI là rất đáng chú ý. Điều này khiến bề mặt tính năng tóm tắt web của ChatGPT tạm thời bị lộ, trong khi công chúng giờ đây đã biết về một đường dẫn lừa đảo chỉ yêu cầu người dùng đề nghị ChatGPT tóm tắt một trang web được chuẩn bị kỹ lưỡng.
ChatGPhish quan trọng vì nó tấn công vào chính lòng tin giao diện, thứ khiến các trợ lý AI trở nên hữu ích. Khi ChatGPT duyệt web, tóm tắt một trang và hiển thị link bên trong giao diện của nó, người dùng không có bất kỳ tín hiệu trực quan nào báo rằng những đường link đó đến từ một bên thứ ba không đáng tin cậy chứ không phải từ chính OpenAI.
Các tổ chức cho phép nhân viên sử dụng tính năng duyệt web của ChatGPT nên coi các bản tóm tắt web là một nguồn nội dung không đáng tin cậy cho đến khi OpenAI đưa ra bản sửa lỗi. Lỗ hổng này cũng làm nổi bật một căng thẳng kiến trúc lặp đi lặp lại: các trợ lý AI kết hợp giao diện của bên thứ nhất với dữ liệu của bên thứ ba cần có trình kết xuất coi mọi nội dung bên ngoài là có khả năng nguy hiểm, chứ không chỉ đơn thuần là văn bản hiển thị.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ChatGPhish, do Permiso Security công bố ngày 29/5/2026, là một cuộc tấn công prompt injection trên trình duyệt, khai thác niềm tin ngầm của ChatGPT vào Markdown để chèn link lừa đảo, cảnh báo bảo mật giả và mã QR ngay...
ChatGPhish, do Permiso Security công bố ngày 29/5/2026, là một cuộc tấn công prompt injection trên trình duyệt, khai thác niềm tin ngầm của ChatGPT vào Markdown để chèn link lừa đảo, cảnh báo bảo mật giả và mã QR ngay... Đây là bước leo thang mới nhất trong chuỗi bốn năm lỗ hổng prompt injection – từ cuộc tấn công đầu tiên năm 2022 đến vụ đánh cắp dữ liệu qua DNS năm 2026 – và tính đến thời điểm công bố, OpenAI chưa đưa ra phản hồi ha...
Điểm yếu cốt lõi nằm ở trình kết xuất phản hồi của ChatGPT, vốn coi các link và hình ảnh Markdown từ trang web bên thứ ba không đáng tin là các yếu tố trực quan an toàn, biến mọi trang web mà mô hình duyệt qua thành m...