信任的裂痕：ChatGPhish 如何利用 ChatGPT 摘要功能發動釣魚攻擊

當你要求 ChatGPT 幫你摘要一篇網頁文章時，你大概會不假思索地信任它回應中出現的連結與按鈕。而這份「直覺的信任」，正是 ChatGPhish 漏洞的精準狙擊目標。

這個由資安公司 Permiso Security 在 2026 年 5 月 29 日揭露的漏洞，是一種嶄新的瀏覽器端提示注入（Prompt Injection）技術。它將 ChatGPT 的網頁摘要功能，變成了一個完美的釣魚詐騙投放系統 。有別於過往那些偷偷摸摸在背景竊取資料的攻擊，這次，駭客直接在你眼前，用看似正常的 AI 回應來詐騙你。

完美模仿：駭客如何操弄 ChatGPT 的「所見即所得」

ChatGPhish 的攻擊邏輯簡單到令人不安，因為它攻擊的，是使用者介面最根本的信任假設：我們都預設 ChatGPT 秀出的東西，是它「思考」後的可靠結果。但事實上，ChatGPT 的回應渲染器（Renderer）在處理第三方網頁內容時，有個致命缺陷——它會將這些網頁上的 Markdown 連結與圖片，直接當作可信任的內容，自動擷取圖片並將連結轉化為「活生生」的可點擊元素 。

整個攻擊鏈分為三步驟：

1. 製作陷阱網頁：攻擊者架設一個看起來平凡無奇的網頁，但其中埋藏了暗黑的 Markdown 連結、圖片，以及幾可亂真的假安全警報。這些內容對一般訪客來說可能毫不起眼，但它們的格式，正是專為 ChatGPT 的摘要系統設計的「指令碼」。
2. 觸發摘要功能：當使用者要求 ChatGPT 摘要這個惡意網頁時，AI 讀取內容，並「毫無戒心地」將攻擊者埋設的 Markdown 指令，當作正常的回應內容給輸出。
3. 投放釣魚酬載：此時，就在你極為信賴的 ChatGPT 介面中，駭客的惡意連結與警報，會以一般 AI 回覆的形式華麗現身。一旦你點擊連結或依照指示操作，就會被導向竊取帳密的釣魚網站、下載惡意程式，或是被引導去掃描一個精心設計的釣魚 QR 碼 。

追根究柢，問題出在 ChatGPT 並未妥善「消毒」來自網頁的 Markdown 內容。這並非針對 OpenAI 伺服器的攻擊，而是一個「客戶端渲染」的設計缺陷，它濫用了你我對 AI 對話框視覺內容的信任。

漏洞演進史：通往 ChatGPhish 的四年攻擊之路

ChatGPhish 並非憑空出現的單一事件，它是多年來提示注入攻擊技術不斷進化的最新產物。每當 OpenAI 為 ChatGPT 擴展一項新能力——無論是網頁瀏覽、程式碼執行、外掛系統或記憶功能——駭客總能找到全新的注入切入點。

以下是一路走來的關鍵節點：

• 2022 年 11 月——提示注入的誕生：在 ChatGPT 於 11 月 30 日問世的 13 天前，提示注入技術首次被指名道姓地展示在 GPT-3 上。而 ChatGPT 推出後數小時內，就有使用者透過角色扮演等方式，繞過了它的安全限制 。