„ChatGPhish“ pažeidžiamumas „ChatGPT“
Kibernetinio saugumo tyrėjai atrado „OpenAI“ „ChatGPT“ pažeidžiamumą, kuris išnaudoja platformos pasitikėjimą „Markdown“ nuorodomis ir vaizdais, sudarydamas sąlygas greitoms injekcijos atakoms ir sukurdamas naujas sukčiavimo galimybes. Ši technika, pavadinta „ChatGPhish“, parodo, kaip dirbtinio intelekto valdoma santraukų generavimo sistema gali būti manipuliuojama siekiant pateikti kenkėjišką turinį tiesiogiai per patikimą sąsają.
Problema kyla dėl to, kaip „ChatGPT“ atsakymų pateikimo programa apdoroja „Markdown“ elementus, kilusius iš trečiųjų šalių tinklalapių. Kai pokalbių robotas apibendrina išorinį turinį, jis automatiškai pasitiki įterptomis „Markdown“ nuorodomis ir vaizdų URL adresais, nuskaito nuotolinius vaizdus ir rodo nuorodas kaip aktyvius, spustelėjamus elementus asistento sąsajoje.
Turinys
Užpuolimo mechanika
Grėsmės veikėjas gali įterpti nedidelį kenkėjišką paketą į tinklalapį, kurį vėliau apibendrina „ChatGPT“. Atvaizdavimo proceso metu užpuoliko kontroliuojami vaizdai gali būti automatiškai atkuriami, galint atskleisti tokią informaciją kaip aukos IP adresas, vartotojo agentas ir nukreipiančiojo serverio duomenys.
Be informacijos nutekėjimo, pažeidžiamumas leidžia pateikti kenkėjišką turinį labai įtikinamais būdais. Užpuolikai gali pateikti sukčiavimo nuorodas tiesiai „ChatGPT“ atsakymuose, rodyti apgaulingus sistemos stiliaus saugumo įspėjimus ir pateikti QR kodus, esančius užpuoliko kontroliuojamoje infrastruktūroje. Šie QR kodai gali paskatinti vartotojus juos nuskaityti mobiliaisiais įrenginiais, efektyviai apeinant darbalaukio URL filtravimą ir įmonės saugumo kontrolę.
„ChatGPhish“ ypač reikšmingą daro ne pats greitas įskiepijimas, o tai, kad dirbtinio intelekto sistema tiksliai vykdo įterptąsias instrukcijas ir pateikia gautą turinį kaip patikimos santraukos dalį. Todėl, atrodytų, įprastas tinklalapis gali generuoti sukčiavimo nuorodas, padirbtų paskyrų įspėjimus, nuotolinius vaizdus ir kenkėjiškus QR kodus tiesiai dirbtinio intelekto asistento atsakyme.
Didėjantis dirbtinio intelekto padedamo naršymo grėsmių paviršius
Šis atradimas pabrėžia platesnį saugumo iššūkį: santraukų kūrimas tapo nauju priešišku atakų paviršiumi. Anksčiau, 2026 m. kovo mėn., tyrėjai pademonstravo, kad specialiai sukurti el. laiškai gali manipuliuoti „Microsoft Copilot“ naudojant kryžminę injekciją (XPIA), paveikdami dirbtinio intelekto generuojamas santraukas paslėptomis instrukcijomis.
Kadangi organizacijos vis labiau pasikliauja dirbtinio intelekto įrankiais tyrimams ir turinio analizei, bet kuris kenkėjiškas tinklalapis, kurį apdoroja dirbtinio intelekto asistentas, gali į modelio kontekstą įtraukti užpuoliko kontroliuojamas instrukcijas. Tai rodo didelį sukčiavimo apsimetant taktikos pokytį. Užuot reikalavę, kad vartotojai atidarytų įtartinus priedus ar sąveikautų su kenkėjiškais el. laiškais, užpuolikai gali paversti įprastą naršymo veiklą ir dirbtinio intelekto santraukų darbo eigą ginklu.
Atakų perkėlimas iš el. pašto aplinkų į naršyklėje veikiančią dirbtinio intelekto sąveiką smarkiai išplečia galimą atakų paviršių. Vien tinklalapio santraukos užklausos gali pakakti, kad vartotojai susidurtų su kenkėjišku turiniu, sugeneruotu naudojant netiesioginės greitosios injekcijos metodus.
Auganti dirbtinio intelekto saugumo apėjimo technikų banga
„ChatGPhish“ atskleidė duomenis tarp tyrimų, atskleidžiančių naujus atakų metodus, nukreiptus prieš dirbtinio intelekto sistemas. Naujausi rezultatai:
- „Invaliono kontekstinio mokymosi“ (IICL) atakos prevencijos technika, išnaudojanti kontekstinio mokymosi ir saugos suderinamumo konfliktus, siekiant apeiti GPT-5.4 apribojimus; kelių posūkių pokalbių strategijos, kurios palaipsniui apeina didelių kalbos modelių apsaugos priemones; tipografinės raginimo injekcijos atakos, kurios paslepia instrukcijas vizualiai iškraipytuose vaizduose; „Neural Exec“ atakos kartu su „Unicode“ rašymo iš dešinės į kairę nepaisymo metodais, siekiant apeiti „Apple Intelligence“ apsaugą; ir „WebPromptTrap“ – netiesioginės raginimo injekcijos pažeidžiamumas, paveikiantis „BrowserOS“, kuris manipuliavo vartotojais naudodamas dirbtinio intelekto sugeneruotas, atrodytų, teisėto turinio santraukas.
- Saugumo spragos, turinčios įtakos DI ekosistemoms ir agentų struktūroms, įskaitant „Anthropic Claude“ kodo pažeidžiamumą, kuris leido perimti „OAuth“ palaikomą MCP ryšį naudojant kenkėjišką „npm“ paketą; nuotolinio atnaujinimo mechanizmo piktnaudžiavimo scenarijų, nukreiptą prieš „OpenClaw“ įgūdžius; paslėpto teksto sukčiavimo kampanijas, skirtas apgauti DI valdomus el. pašto saugumo produktus; „ClaudeBleed“ pažeidžiamumą, kuris leido naršyklės plėtiniams siųsti neleistinas komandas „Claude“; kritinius „Microsoft Semantic Kernel“ pažeidžiamumus (CVE-2026-25592 ir CVE-2026-26030), galinčius eskaluoti greitas injekcijas į nuotolinį kodo vykdymą pagrindinio kompiuterio lygmenyje; plačiai paplitusius saugumo trūkumus „ClawHub“ ir „skills.sh“ agentų saugyklose; ir atakas prieš NVIDIA „NemoClaw“ nuorodų rinkinį, kuris leido „OpenClaw“ duomenims išgauti informaciją per kenkėjiškas „GitHub“ saugyklas ir „npm“ paketus.
Dirbtinio intelekto valdomų kibernetinių grėsmių ateitis
Tobulėjant pažangiems dirbtinio intelekto modeliams, kibernetiniai nusikaltėliai vis dažniau eksperimentuoja su savo puolimo galimybėmis. Grėsmių kūrėjai naudoja didelius kalbos modelius, kad sukurtų prisitaikančią kenkėjišką programinę įrangą, galinčią modifikuoti savo elgesį ir išvengti aptikimo mechanizmų.
Be to, dirbtinio intelekto sistemos yra įtraukiamos į kenkėjiškų programų sprendimų priėmimo procesus. Šios galimybės leidžia kenkėjiškai programinei įrangai įvertinti pažeistą aplinką, nustatyti, ar taikiniai yra vertingi, ir nuspręsti, ar sąlygos tinkamos papildomų naudingųjų apkrovų diegimui.
„ChatGPhish“ tyrimas dar kartą primena, kad dirbtinio intelekto technologijos įveda visiškai naujus saugumo aspektus. Dirbtinio intelekto asistentams tampant giliai integruotiems į įmonių darbo eigas, apsauga nuo netiesioginių užklausų, manipuliuojamų santraukų ir pasitikėjimu pagrįstų sąsajos piktnaudžiavimo taps vis svarbesniu kibernetinio saugumo strategijos komponentu.
