ChatGPhish (由 Permiso Security 于 2026 年 5 月 29 日披露) 是一种浏览器端提示注入攻击,它利用 ChatGPT 对 Markdown 链接和图片的无条件信任,将攻击者精心构造的网页内容——包括钓鱼链接、虚假安全警报、QR 码——直接呈现在 ChatGPT 的回应中,让用户误以为是助手自身的推荐 [4]。 该漏洞标志着提示注入攻击从隐蔽数据外泄向主动钓鱼的转折:攻击者不再只是偷偷窃取聊天记录,而是可以直接在可信的 ChatGPT 用户界面上构建出完整的钓鱼场景 [4][23]。

Create a landscape editorial hero image for this Studio Global article: How does the ChatGPhish vulnerability discovered by Permiso Security exploit ChatGPT's Markdown rendering to deliver phishing attacks throug. Article summary: Here is the answer based on the available reporting.. Topic tags: general, general web, academic, user generated. Reference image context from search candidates: Reference image 1: visual subject "In yet another "Your chatbot may be leaking" moment, researchers have uncovered multiple weaknesses in OpenAI's ChatGPT that could allow an attacker to exfiltrate private informati" source context "Multiple ChatGPT Security Bugs Allow Rampant Data Theft" Reference image 2: visual subject "Researchers at Check Point discovered that a single malicious prompt could exploit a hidden outbound channel within ChatGPT's code execution" source context "ChatGPT data leakage vul
当 ChatGPT 为你总结某个网页时,你通常不会怀疑它回复中出现的那些链接和按钮。这种信任,正是 ChatGPhish 漏洞所要利用的东西。
2026 年 5 月 29 日,安全公司 Permiso Security 公开披露了一项名为 ChatGPhish 的浏览器端提示注入技术,它将 ChatGPT 的网页摘要功能变成了一个钓鱼攻击的交付管道 。与早期那些专注于偷偷窃取数据的攻击不同,这次攻击直接在 AI 助手自己的界面上做手脚——呈现攻击者控制的链接、虚假登录表单和安全提醒,让用户以为这些都是 ChatGPT 提供的正规内容。
以下是这个漏洞的具体原理、它背后那条长长的提示注入漏洞演化史,以及截至发稿时 OpenAI 的表态(或者说,没有表态)。
攻击手法简洁但极具破坏力,因为它撼动了一个基本的信任假设:ChatGPT 的回应渲染器会把来自第三方网页的 Markdown 链接和图片当作受信任的内容来处理,自动加载图片、让链接在助手界面里变成活的可点击元素 。
攻击链条分三步:
因为 ChatGPT 在渲染 Markdown 内容之前,并未对来自网页的内容进行充分消毒,任何被模型浏览的第三方网页都成了潜在的钓鱼媒介。这不是对 OpenAI 服务器的攻击,而是一个客户端渲染漏洞——它滥用的是用户对 ChatGPT 界面视觉输出的信任。
ChatGPhish 并非凭空出现。它是多年提示注入技术层层堆叠的最新一章——每当 OpenAI 为 ChatGPT 增添一项新能力(网页浏览、代码执行、插件支持、记忆功能),攻击者总能找到新的注入面。
从早期到 ChatGPhish 的关键节点如下:
这条时间线里每一次都重复着同一个模式:ChatGPT 的新能力打开了一个新注入面,而 Markdown 渲染器则一再暴露出其软肋——它默认信任来自外部页面的内容。
至 2026 年 5 月 29–30 日,现有报道显示 Permiso Security 已于 5 月 29 日公开披露了 ChatGPhish 漏洞,但并没有看到 OpenAI 针对此漏洞发布任何公开声明或补丁的报道 。
当然,OpenAI 在这段时间在安全方面并非毫无行动,他们处理了两起与 ChatGPhish 无关的事件:
在 ChatGPhish 公开披露之后,OpenAI 迟迟没有响应的这段时间是相当关键的。公众如今已知道,只需要请 ChatGPT 总结一个精心准备的网页,就可以构成一条切实可行的钓鱼通道,而 ChatGPT 的网页摘要功能在此期间依然是暴露的。
ChatGPhish 之所以要紧,是因为它攻击的是“界面信任”这个让 AI 助手得以有用的东西。当 ChatGPT 浏览网页、总结页面并在自己的界面中呈现那些链接时,用户眼前没有一丝视觉信号可以分辨那些链接究竟是来自不可信的第三方,还是来自 OpenAI 自己。
在 OpenAI 推出修复方案之前,允许员工使用 ChatGPT 浏览功能的机构,应当把网页摘要视为一个不可信的内容来源。这一漏洞还凸显出一个反复出现的架构性矛盾:那些将自有界面和第三方数据混合在一起的 AI 助手,需要一个能把所有外部内容都当作潜在敌意的渲染器,而不能仅仅是原样照搬。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ChatGPhish (由 Permiso Security 于 2026 年 5 月 29 日披露) 是一种浏览器端提示注入攻击,它利用 ChatGPT 对 Markdown 链接和图片的无条件信任,将攻击者精心构造的网页内容——包括钓鱼链接、虚假安全警报、QR 码——直接呈现在 ChatGPT 的回应中,让用户误以为是助手自身的推荐 [4]。
ChatGPhish (由 Permiso Security 于 2026 年 5 月 29 日披露) 是一种浏览器端提示注入攻击,它利用 ChatGPT 对 Markdown 链接和图片的无条件信任,将攻击者精心构造的网页内容——包括钓鱼链接、虚假安全警报、QR 码——直接呈现在 ChatGPT 的回应中,让用户误以为是助手自身的推荐 [4]。 该漏洞标志着提示注入攻击从隐蔽数据外泄向主动钓鱼的转折:攻击者不再只是偷偷窃取聊天记录,而是可以直接在可信的 ChatGPT 用户界面上构建出完整的钓鱼场景 [4][23]。
ChatGPhish 并非孤立事件,它建立在一条长达四年的漏洞演化链之上:从 2022 年的首个提示注入概念、2023 年的 Markdown 外泄数据,到 2025 年的 SVG/HTML 注入 (CVE 2025 43714) 和 2026 年的 DNS 隐蔽通道,每一次新能力扩展都暴露了 Markdown 渲染器的同一软肋 [35][29][23][9]。