ChatGPhish：攻击者如何将 ChatGPT 的网页摘要功能武器化为钓鱼利器

当 ChatGPT 为你总结某个网页时,你通常不会怀疑它回复中出现的那些链接和按钮。这种信任,正是 ChatGPhish 漏洞所要利用的东西。

2026 年 5 月 29 日,安全公司 Permiso Security 公开披露了一项名为 ChatGPhish 的浏览器端提示注入技术,它将 ChatGPT 的网页摘要功能变成了一个钓鱼攻击的交付管道 。与早期那些专注于偷偷窃取数据的攻击不同,这次攻击直接在 AI 助手自己的界面上做手脚——呈现攻击者控制的链接、虚假登录表单和安全提醒,让用户以为这些都是 ChatGPT 提供的正规内容。

以下是这个漏洞的具体原理、它背后那条长长的提示注入漏洞演化史,以及截至发稿时 OpenAI 的表态(或者说,没有表态)。

ChatGPhish 如何操纵 ChatGPT 的 Markdown 渲染器

攻击手法简洁但极具破坏力,因为它撼动了一个基本的信任假设:ChatGPT 的回应渲染器会把来自第三方网页的 Markdown 链接和图片当作受信任的内容来处理,自动加载图片、让链接在助手界面里变成活的可点击元素 。

攻击链条分三步:

1. 制作恶意网页 —— 攻击者搭建一个网页,里面埋着隐藏的 Markdown 链接、图片和极具迷惑性的虚假安全警报。普通人浏览时页面看起来稀松平常,但页内嵌有专门给 ChatGPT 摘要系统看的“指令”。
2. 触发网页摘要 —— 用户要求 ChatGPT 总结这个网页。ChatGPT 处理页面内容时,会把这些攻击者埋进去的 Markdown 净荷当成合法的回应输出来解读。
3. 投放钓鱼净荷 —— 在 ChatGPT 那受信任的界面里,攻击者的链接和警告看起来就像是正常的助手回复。一旦用户点击链接或按提示操作,就会被导向一个窃取凭证的恶意网站、一个恶意文件下载,或一个指向钓鱼站的 QR 码 。

因为 ChatGPT 在渲染 Markdown 内容之前,并未对来自网页的内容进行充分消毒,任何被模型浏览的第三方网页都成了潜在的钓鱼媒介。这不是对 OpenAI 服务器的攻击,而是一个客户端渲染漏洞——它滥用的是用户对 ChatGPT 界面视觉输出的信任。

谱系:通向 ChatGPhish 的提示注入漏洞演化史

ChatGPhish 并非凭空出现。它是多年提示注入技术层层堆叠的最新一章——每当 OpenAI 为 ChatGPT 增添一项新能力(网页浏览、代码执行、插件支持、记忆功能),攻击者总能找到新的注入面。

从早期到 ChatGPhish 的关键节点如下:

• 2022 年 11 月 —— 提示注入的诞生: 在 ChatGPT 上线的 13 天前,提示注入首次被命名并在 GPT-3 上得到验证。ChatGPT 上线后数小时内,就有人通过角色扮演等方式绕过了安全层 。