2026 年 5 月 29 日,安全公司 Permiso 发布了一种名为“ChatGPhish”的攻击方法,该方法利用 ChatGPT 的页面摘要功能。
通过将指令有效负载添加到公共网页,未经身份验证的攻击者可以操纵 ChatGPT 摘要输出的呈现。由于 chatgpt.com 渲染器信任来自第三方的 Markdown 链接和图像 URL,因此攻击者链接显示、虚假安全警告、从 Amazon S3 检索的 QR 码以及通过缩短的 URL 的跟踪信标都会在 ChatGPT 的 UI 中呈现。
该方法是 Microsoft Copilot XPIA 的演变。 Permiso 于 2026 年 4 月 29 日通过 Bugcrowd 向 OpenAI 报告,但被认为不可重现,5 月 1 日重新提交被归类为重复,5 月 7 日追加沟通后,于 5 月 29 日发布。
从: 新的 ChatGPT 漏洞可让攻击者将网页转变为网络钓鱼负载
【编辑部评论】
我要记住的第一件事是这不是一个关于“ChatGPT被劫持”的故事这就是重点。攻击者篡改的并不是ChatGPT本身,而是ChatGPT概括的“页面端”。 “指令”嵌入在用户以人类无法察觉的方式随意打开的网页中。当您总结页面时,ChatGPT 就会执行指令,而无法将它们与真实请求区分开来。
技术关键在于显示汇总结果的“渲染”部分。 chatgpt.com 以与其生成的规范输出相同的方式显示摘要页面中包含的 Markdown 链接和图像。由于没有来源标签,从用户的角度来看,ChatGPT 给出的链接和攻击者注入的链接看起来一模一样。这就是原因。
这项研究由 Permiso 威胁猎手 Andi Ahmeti 领导(原文只列出了报道该事件的记者姓名,但这是该研究的主要来源)。演示中使用了 Firefox,但正如 Ahmeti 本人所澄清的那样,这不是 Firefox 或浏览器中的错误。浏览器只将页面内容传递给ChatGPT,问题出在LLM端的绘图上。换句话说,同样的逻辑适用于任何具有页面摘要功能的浏览器链接人工智能。
影响范围很广,因为攻击的“入口”已经从电子邮件转移到了浏览器。电子邮件具有垃圾邮件过滤器和附件控制等标准化防御措施,但现实情况是,在浏览器上“查看页面”很难通过这些过滤器,并且很容易与正常工作混淆。用户甚至不必打开可疑附件;他们只是打开页面并要求提供摘要。 GitHub 自述文件、技术文档、博客、产品页面——任何东西都可以是子弹。
特别麻烦的是使用二维码的技巧。如果它是链接,您可以将鼠标悬停在其上以查看它的位置,并且您的浏览器或密码管理器可能会发出警告。然而,二维码将判断转移到称为智能手机的“单独屏幕”,从而更容易绕过桌面防御,例如悬停确认和密码管理器域验证。考虑到这本杂志的运营环境,我们的许多读者都从桌面获取信息,“PC 上的摘要 → 智能手机上的扫描”的危险应该不是其他人的问题。
不要忘记保持积极的态度。这一发现也是研究人员在攻击成为现实之前将人工智能浏览便利性的隐藏面可视化的结果。摘要功能本身并不是邪恶的;通过创建一个系统来直观地区分“从外部导入的内容”和“人工智能本身生成的内容”,可以降低许多风险是。
作为这本杂志,我们希望向前迈出一步。披露过程不透明是。据 The Register 报道,OpenAI 最初将该报告标记为“不可重现”,重新提交的报告最初被标记为“不适用”,后来被归类为“先前报告的重复项”。然而,艾哈迈蒂表示,“报告内容与所谓的重复内容存在很大差异”,进一步的询问尚未得到答复。截至本文发布时,尚未确认该修复程序已被应用,研究人员警告说,“它仍然被认为容易受到攻击,应谨慎使用。”在撰写本文时,还没有公开的 CVE 编号。事实上,新的漏洞类型在现有的分类之间悬而未决,这可能是问题的症结所在。
从监管和长期角度来看,本案预示着未来不可避免的问题“我们在多大程度上可以信任人工智能代理的输出?”由于 OWASP 在 2025 年版本 (LLM01:2025) 中将即时注入列为最高风险,在人工智能接收外部数据并对其采取行动的时代,负责设计“合并信息”和“AI判断”的单独展示被问到。为了应对信任边界消失以换取便利的趋势,标准化 UI 上来源显示的运动可能会成为未来行业规则制定的焦点。
【术语解释】
及时注射
这是一种攻击方法,会导致人工智能模型将隐藏在数据或文本中的指令误解为“常规命令”,从而导致它们执行意想不到的操作。 OWASP 将此视为 LLM 的最大风险。
聊天网络钓鱼
这是 Permiso 命名的攻击的通用名称。这是“ChatGPT”和“网络钓鱼”的组合词,指的是成为攻击有效负载的摘要页面。
XPIA(交叉提示注入攻击)
这是一种通过攻击者准备的外部内容(电子邮件或网页)间接操纵人工智能输出的方法。它的独特之处在于它并不直接命令AI,而是对AI阅读的材料设置了一个技巧。
有效负载
最初,该术语指的是数据通信中的“内容”,但在安全上下文中,它指的是为了实施攻击而植入的可执行代码和指令。
降价
这是一种使用简单符号向文本添加链接、图像和标题等格式的书写方法。 ChatGPT 响应也使用此表示法进行格式化和显示。
渲染器(绘图处理)
指将接收到的数据转换成屏幕上可以看到的形式并显示出来的过程。这次的问题是chatgpt.com的绘图过程显示了未经验证的外部链接和图像。
跟踪信标
它们是嵌入网页或响应中的小型设备,每次在屏幕上显示时都会自动与外部服务器进行通信。用于将观看者的IP地址和使用环境发送给对方并跟踪其行为。
LLM(大规模语言模型)
它是一种基本的人工智能技术,可以学习大量文本、生成句子并进行总结。这包括 ChatGPT 和 Copilot。
OWASP 法学硕士01:2025
这是安全标准组织 OWASP 发布的 LLM 应用程序威胁列表中的首要项目。及时注射被定义为最重要的风险。
CVE
通用漏洞标识符的缩写,是分配给已披露漏洞的全球通用管理编号。在这种情况下,在撰写本文时还没有可用的公开数字。
[参考链接]
许可(P0实验室)(外部)
一家保护云和人工智能身份的安全公司。研究部门 P0 Labs 是发布此 ChatGPhish 的主要信息来源。
开放人工智能(外部)
一家开发和运营 ChatGPT 的公司。该公司是收到此漏洞报告的一方,披露响应的透明度是一个争论点。
聊天GPT(外部)
OpenAI提供的交互式AI服务。有问题的页面摘要功能及其响应呈现成为攻击的阶段。
微软副驾驶(外部)
微软的人工智能助手。该产品是 XPIA 关于电子邮件摘要的研究主题,它构成了该方法的基础。
GitHub(外部)
为开发者提供的代码共享平台。 README 等公共页面被用来演示这种攻击。
虫群(外部)
调解漏洞报告(错误赏金)的平台。 Permiso 以此作为向 OpenAI 报告的途径。
OWASP(外部)
一个旨在提高网络安全性的国际非营利组织。这是开发 LLM 威胁分类 (LLM01:2025) 的组织。
(外部)
亚马逊网络服务云存储。它被用作攻击者安装二维码图像的存储位置。
火狐浏览器(外部)
本演示中使用的 Web 浏览器。然而,研究人员明确表示,这不是浏览器特定的缺陷。
[相关文章]
ChatGPhish:页面就是有效负载(外部)
领导这项研究的 Permiso 的 Andy Ahmeti 的公共博客。主要信息。它按时间顺序详细介绍了四种攻击技术、验证程序和披露历史。
ChatGPT 提示注入将网页变成网络钓鱼诱饵(外部)
The Register 发表了一篇关于艾哈迈蒂先生的文章。它报告了与 OpenAI 标记为“重复”的内容之间的差异以及修复尚未得到确认的当前状态。
ChatGPhish 漏洞将 ChatGPT Web 摘要变成网络钓鱼界面(外部)
文章来自黑客新闻。它概述了 chatgpt.com 对 Markdown 的隐性依赖的核心以及与 Copilot 之前研究的连续性。
[编者后记]
向人工智能询问摘要已经成为一种像搜索一样自然的习惯。这就是为什么这项研究悄悄地让我们意识到,我们已经无意识地假设响应屏幕是一个“安全区”。我不想把注意力集中在攻击的复杂性上,而是希望将这一事件视为一个重新考虑我们如何信任的机会。
innovaTopia 编辑部将继续诚实地报道这些技术的阴暗面,作为迈向未来的一步。方便和警惕并不是相互排斥的。我希望与大家一起探索实现这两点的方法。