ChatGPhish: Cách tin tặc vũ khí hóa tính năng tóm tắt web của ChatGPT để tấn công phishing

Vì ChatGPT không làm sạch (sanitize) nội dung Markdown từ các trang web trước khi hiển thị, bất kỳ trang nào của bên thứ ba mà mô hình duyệt qua đều trở thành một vector lừa đảo tiềm năng. Đây không phải là một vụ khai thác từ phía máy chủ của OpenAI, mà là một điểm yếu trong khâu kết xuất ở phía máy khách (client-side), lợi dụng lòng tin mà người dùng đặt vào giao diện trực quan của ChatGPT.

Nguồn gốc: Các lỗ hổng Prompt Injection dẫn đến ChatGPhish

ChatGPhish không tự nhiên xuất hiện. Đây là hồi mới nhất trong nhiều năm leo thang của các kỹ thuật prompt injection, theo sát từng năng lực mới mà OpenAI bổ sung cho ChatGPT. Khi mô hình có thêm khả năng duyệt web, thực thi mã, hỗ trợ plugin và ghi nhớ, kẻ tấn công liền tìm ra những bề mặt mới để tiêm nhiễm hướng dẫn và đánh cắp dữ liệu.

Dưới đây là những cột mốc quan trọng trên hành trình dẫn tới ChatGPhish:

• Tháng 11/2022 — Prompt injection ra đời: Kỹ thuật prompt injection được đặt tên và trình diễn trên GPT-3 chỉ 13 ngày trước khi ChatGPT ra mắt ngày 30/11/2022. Chỉ vài giờ sau khi ra mắt, người dùng đã vượt qua lớp bảo vệ an toàn của trợ lý bằng các thủ thuật đóng vai .
• 2023–2024 — Prompt injection gián tiếp và đánh cắp dữ liệu qua Markdown: Các nhà nghiên cứu phát hiện ra rằng khả năng hiển thị hình ảnh Markdown của ChatGPT có thể bị lạm dụng để làm rò rỉ dữ liệu hội thoại. Kẻ tấn công tải các prompt độc hại lên các trang web công cộng; khi ChatGPT tương tác, nó phản hồi bằng các thẻ hình ảnh Markdown tự động tải đến URL bên ngoài có chứa dữ liệu đã bị đánh cắp .
• Tháng 5/2024 — Đánh cắp dữ liệu cá nhân qua bộ nhớ: Một bài báo khoa học chỉ ra rằng ChatGPT 4 và 4o dễ bị tấn công prompt injection để truy xuất dữ liệu cá nhân của người dùng, và tính năng ghi nhớ (memory) của trợ lý càng khuếch đại mức độ lộ lọt .
• Tháng 3/2025 — CVE-2025-43714 (tiêm nhiễm SVG/HTML): ChatGPT bị phát hiện hiển thị trực tiếp tài liệu SVG trên trình duyệt web thay vì hiển thị dưới dạng văn bản thuần trong khối mã. Điều này cho phép kẻ tấn công tiêm mã HTML tùy ý để thực hiện tấn công phishing trực tiếp trong giao diện ChatGPT .
• Tháng 2–3/2026 — Đánh cắp dữ liệu qua DNS và tiêm nhiễm hình ảnh Markdown: Check Point tiết lộ một lỗ hổng trong môi trường thực thi mã của ChatGPT cho phép dùng kỹ thuật DNS tunneling để rút trộm dữ liệu hội thoại. OpenAI đã vá vào ngày 20/2/2026. Cùng tháng đó, một vector riêng biệt cũng xuất hiện, sử dụng các link hình ảnh Markdown độc hại để lấy cắp nhật ký chat, prompt hệ thống và dữ liệu người dùng qua truy vấn DNS .
• Tháng 5/2026 — ChatGPhish: Lỗ hổng này tổng hợp nhiều luồng tấn công: prompt injection gián tiếp, kết xuất Markdown không đáng tin cậy, và tính năng tóm tắt trang web. Sự thay đổi then chốt là ChatGPhish được vũ khí hóa cho mục đích chủ động phishing — hiển thị nội dung lừa đảo trực tiếp bên trong giao diện ChatGPT — thay vì chỉ để đánh cắp dữ liệu một cách bí mật .

Mỗi bước trong dòng thời gian này đều cho thấy một khuôn mẫu chung: mỗi năng lực mới của ChatGPT lại mở ra một bề mặt tiêm nhiễm mới, và trình kết xuất Markdown liên tục chứng tỏ là mắt xích yếu nhất vì nó ngầm tin tưởng nội dung từ các trang bên ngoài.

Phản ứng của OpenAI cuối tháng 5/2026

Tính đến ngày 29–30 tháng 5 năm 2026, các báo cáo hiện có ghi nhận việc Permiso Security công khai lỗ hổng ChatGPhish vào ngày 29 tháng 5, nhưng chưa có tuyên bố hay bản vá công khai nào từ OpenAI liên quan cụ thể đến lỗ hổng này .

Trong giai đoạn này, OpenAI không hề án binh bất động về mặt bảo mật. Công ty đã xử lý hai sự cố riêng biệt trong tháng 5/2026, không liên quan đến ChatGPhish:

• Ngày 13 tháng 5, 2026 — OpenAI công bố phản hồi về vụ tấn công chuỗi cung ứng npm TanStack (được biết đến với tên “Mini Shai-Hulud”), xác nhận hai thiết bị của nhân viên bị xâm phạm nhưng không có dữ liệu người dùng nào bị truy cập .
• Ngày 14 tháng 5, 2026 — Công ty buộc cập nhật ứng dụng ChatGPT trên macOS như một phần của nỗ lực ngăn chặn sự cố chuỗi cung ứng nói trên .

Khoảng trống giữa thời điểm ChatGPhish bị công khai và bất kỳ phản hồi nào từ OpenAI là rất đáng chú ý. Điều này khiến bề mặt tính năng tóm tắt web của ChatGPT tạm thời bị lộ, trong khi công chúng giờ đây đã biết về một đường dẫn lừa đảo chỉ yêu cầu người dùng đề nghị ChatGPT tóm tắt một trang web được chuẩn bị kỹ lưỡng.

Bối cảnh rộng hơn và các hàm ý

ChatGPhish quan trọng vì nó tấn công vào chính lòng tin giao diện, thứ khiến các trợ lý AI trở nên hữu ích. Khi ChatGPT duyệt web, tóm tắt một trang và hiển thị link bên trong giao diện của nó, người dùng không có bất kỳ tín hiệu trực quan nào báo rằng những đường link đó đến từ một bên thứ ba không đáng tin cậy chứ không phải từ chính OpenAI.

Các tổ chức cho phép nhân viên sử dụng tính năng duyệt web của ChatGPT nên coi các bản tóm tắt web là một nguồn nội dung không đáng tin cậy cho đến khi OpenAI đưa ra bản sửa lỗi. Lỗ hổng này cũng làm nổi bật một căng thẳng kiến trúc lặp đi lặp lại: các trợ lý AI kết hợp giao diện của bên thứ nhất với dữ liệu của bên thứ ba cần có trình kết xuất coi mọi nội dung bên ngoài là có khả năng nguy hiểm, chứ không chỉ đơn thuần là văn bản hiển thị.