Vulnerabilità ChatGPhish in ChatGPT
Alcuni ricercatori di sicurezza informatica hanno scoperto una vulnerabilità in ChatGPT di OpenAI che sfrutta la fiducia della piattaforma nei link e nelle immagini in formato Markdown, consentendo attacchi di prompt injection e creando nuove opportunità di phishing. La tecnica, denominata ChatGPhish, dimostra come la sintesi automatica basata sull'intelligenza artificiale possa essere manipolata per diffondere contenuti dannosi direttamente attraverso un'interfaccia considerata affidabile.
Il problema deriva dal modo in cui il renderer di risposta di ChatGPT elabora gli elementi Markdown provenienti da pagine web di terze parti. Quando il chatbot riassume contenuti esterni, si fida automaticamente dei link Markdown incorporati e degli URL delle immagini, recuperando le immagini remote e visualizzando i link come elementi attivi e cliccabili all'interno dell'interfaccia dell'assistente.
Sommario
I meccanismi alla base dell’attacco
Un malintenzionato può incorporare un piccolo payload dannoso all'interno di una pagina web, che viene successivamente riassunta da ChatGPT. Durante il processo di rendering, le immagini controllate dall'attaccante potrebbero essere scaricate automaticamente, esponendo potenzialmente informazioni come l'indirizzo IP della vittima, lo User-Agent e i dettagli del Referer.
Oltre alla fuga di informazioni, la vulnerabilità consente di presentare contenuti dannosi in modo estremamente convincente. Gli aggressori possono inserire link di phishing direttamente nelle risposte di ChatGPT, visualizzare avvisi di sicurezza fraudolenti in stile sistema e presentare codici QR ospitati su infrastrutture controllate dagli aggressori. Questi codici QR possono indurre gli utenti a scansionarli con dispositivi mobili, aggirando di fatto i filtri URL e i controlli di sicurezza aziendali basati su computer desktop.
Ciò che rende ChatGPhish particolarmente significativo non è l'iniezione di prompt in sé, ma il fatto che il sistema di intelligenza artificiale segua fedelmente le istruzioni incorporate e presenti il contenuto risultante come parte di un riepilogo affidabile. Una pagina web apparentemente ordinaria può quindi generare link di phishing, avvisi di account falsi, immagini remote e codici QR dannosi direttamente all'interno della risposta di un assistente IA.
La superficie di minaccia in espansione della navigazione assistita dall’intelligenza artificiale
La scoperta mette in luce una sfida di sicurezza più ampia: la creazione di riassunti è emersa come una nuova superficie di attacco. Già a marzo 2026, i ricercatori avevano dimostrato che email appositamente create potevano manipolare Microsoft Copilot tramite l'iniezione di prompt incrociati (XPIA), influenzando i riassunti generati dall'IA attraverso istruzioni nascoste.
Poiché le organizzazioni si affidano sempre più agli strumenti di intelligenza artificiale per la ricerca e l'analisi dei contenuti, qualsiasi pagina web dannosa elaborata da un assistente IA potrebbe introdurre istruzioni controllate dall'attaccante nel contesto del modello. Ciò rappresenta un cambiamento epocale nelle tattiche di phishing. Invece di richiedere agli utenti di aprire allegati sospetti o interagire con email dannose, gli aggressori possono sfruttare le normali attività di navigazione e i flussi di lavoro di riassunto automatico basati sull'IA.
La migrazione degli attacchi dagli ambienti di posta elettronica alle interazioni basate sull'intelligenza artificiale nei browser amplia drasticamente la superficie di attacco disponibile. Anche la semplice richiesta di un riepilogo di una pagina web può essere sufficiente a esporre gli utenti a contenuti dannosi generati tramite tecniche di iniezione indiretta di prompt.
Un’ondata crescente di tecniche di aggiramento della sicurezza basate sull’intelligenza artificiale
La rivelazione relativa a ChatGPhish giunge in un momento in cui numerose ricerche stanno svelando nuovi metodi di attacco contro i sistemi di intelligenza artificiale. Tra le scoperte più recenti si annoverano:
- La tecnica di jailbreak Involuntary In-Context Learning (IICL), che sfrutta i conflitti tra apprendimento contestuale e allineamento di sicurezza per aggirare le restrizioni di GPT-5.4; strategie di conversazione multi-turno che aggirano gradualmente le protezioni dei modelli linguistici di grandi dimensioni; attacchi di iniezione di prompt tipografici che nascondono le istruzioni all'interno di immagini visivamente distorte; attacchi Neural Exec combinati con tecniche di override Unicode da destra a sinistra per aggirare le protezioni di Apple Intelligence; e WebPromptTrap, una vulnerabilità di iniezione di prompt indiretta che interessa BrowserOS e che manipolava gli utenti attraverso riassunti generati dall'IA di contenuti apparentemente legittimi.
- Debolezze di sicurezza che interessano gli ecosistemi di IA e i framework degli agenti, tra cui una vulnerabilità in Anthropic Claude Code che consentiva l'intercettazione delle comunicazioni MCP supportate da OAuth tramite un pacchetto npm malevolo; uno scenario di abuso del meccanismo di aggiornamento remoto che prendeva di mira le skill di OpenClaw; campagne di phishing con testo nascosto progettate per ingannare i prodotti di sicurezza e-mail basati sull'IA; la vulnerabilità ClaudeBleed che consentiva alle estensioni del browser di inviare comandi non autorizzati a Claude; vulnerabilità critiche in Microsoft Semantic Kernel (CVE-2026-25592 e CVE-2026-26030) in grado di escalare le iniezioni di prompt nell'esecuzione di codice remoto a livello host; diffuse falle di sicurezza nei repository degli agenti ClawHub e skills.sh; e attacchi contro lo stack di riferimento NemoClaw di NVIDIA che consentivano l'esfiltrazione dei dati di OpenClaw tramite repository GitHub e pacchetti npm malevoli.
Il futuro delle minacce informatiche basate sull’intelligenza artificiale
Con il continuo perfezionamento dei modelli di intelligenza artificiale avanzata, i criminali informatici stanno sperimentando sempre più le loro capacità offensive. Gli autori delle minacce sfruttano modelli linguistici di grandi dimensioni per sviluppare malware più adattivi, capaci di modificare il proprio comportamento per eludere i meccanismi di rilevamento.
Inoltre, i sistemi di intelligenza artificiale vengono integrati nei processi decisionali dei malware. Queste funzionalità consentono ai software dannosi di valutare gli ambienti compromessi, determinare se gli obiettivi sono preziosi e decidere se le condizioni sono idonee per il rilascio di ulteriori payload.
La ricerca di ChatGPhish ci ricorda ancora una volta che le tecnologie di intelligenza artificiale introducono problematiche di sicurezza completamente nuove. Con la crescente integrazione degli assistenti virtuali nei flussi di lavoro aziendali, la protezione contro l'inserimento indiretto di prompt, la manipolazione dei riepiloghi e gli abusi delle interfacce basate sulla fiducia diventerà un elemento sempre più critico della strategia di sicurezza informatica.
