ChatGPhish-sårbarhet i ChatGPT
Forskere innen nettsikkerhet har avdekket en sårbarhet i OpenAIs ChatGPT som utnytter plattformens tillit til Markdown-lenker og -bilder, noe som muliggjør raske injeksjonsangrep og skaper nye phishing-muligheter. Teknikken, kalt ChatGPhish, demonstrerer hvordan AI-drevet oppsummering kan manipuleres for å levere skadelig innhold direkte gjennom et pålitelig grensesnitt.
Problemet stammer fra måten ChatGPTs responsgjengivelse behandler Markdown-elementer som stammer fra tredjeparts nettsider. Når chatboten oppsummerer eksternt innhold, stoler den automatisk på innebygde Markdown-lenker og bilde-URL-er, henter eksterne bilder og viser lenker som aktive, klikkbare elementer i assistentens grensesnitt.
Innholdsfortegnelse
Mekanikken bak angrepet
En trusselaktør kan legge inn en liten, ondsinnet nyttelast i en nettside som senere oppsummeres av ChatGPT. Under gjengivelsesprosessen kan angriperkontrollerte bilder hentes automatisk, noe som potensielt eksponerer informasjon som offerets IP-adresse, brukeragent og referansedetaljer.
Utover informasjonslekkasje, tillater sårbarheten at skadelig innhold presenteres på svært overbevisende måter. Angripere kan gjengi phishing-lenker direkte i ChatGPT-svar, vise falske sikkerhetsadvarsler i systemstil og presentere QR-koder som ligger på angriperkontrollert infrastruktur. Disse QR-kodene kan oppfordre brukere til å skanne dem med mobile enheter, og dermed effektivt omgå skrivebordsbasert URL-filtrering og sikkerhetskontroller for bedrifter.
Det som gjør ChatGPhish spesielt viktig er ikke selve den raske injeksjonen, men det faktum at AI-systemet trofast følger innebygde instruksjoner og presenterer det resulterende innholdet som en del av et pålitelig sammendrag. En tilsynelatende vanlig nettside kan derfor generere phishing-lenker, varsler om forfalskede kontoer, eksterne bilder og ondsinnede QR-koder direkte i en AI-assistents svar.
Den voksende trusseloverflaten for AI-assistert nettlesing
Oppdagelsen fremhever en bredere sikkerhetsutfordring: sammendrag har dukket opp som en ny angrepsflate for fiendtlige formål. Tidligere i mars 2026 demonstrerte forskere at spesiallagde e-poster kunne manipulere Microsoft Copilot gjennom krysspromptinjeksjon (XPIA), og dermed påvirke AI-genererte sammendrag gjennom skjulte instruksjoner.
Ettersom organisasjoner i økende grad er avhengige av AI-verktøy for forskning og innholdsanalyse, kan enhver ondsinnet nettside behandlet av en AI-assistent introdusere angriperstyrte instruksjoner i modellens kontekst. Dette representerer et stort skifte i phishing-taktikker. I stedet for å kreve at brukere åpner mistenkelige vedlegg eller engasjerer seg i ondsinnede e-poster, kan angripere bruke rutinemessig nettleseraktivitet og arbeidsflyter for AI-oppsummeringer som våpen.
Migreringen av angrep fra e-postmiljøer til nettleserbaserte AI-interaksjoner utvider den tilgjengelige angrepsflaten dramatisk. Bare det å be om et sammendrag av en nettside kan være tilstrekkelig til å eksponere brukere for skadelig innhold generert gjennom indirekte prompt injection-teknikker.
En voksende bølge av teknikker for omgåelse av sikkerhet med AI
ChatGPhish-avsløringen kommer midt i en bølge av forskning som avslører nye angrepsmetoder som retter seg mot kunstig intelligens-systemer. Nylige funn inkluderer:
- Jailbreak-teknikken Involuntary In-Context Learning (IICL), som utnytter konflikter mellom kontekstbasert læring og sikkerhetsjustering for å omgå GPT-5.4-restriksjoner; flerturs-samtalestrategier som gradvis omgår sikkerhetstiltak for store språkmodeller; typografiske promptinjeksjonsangrep som skjuler instruksjoner i visuelt forvrengte bilder; Neural Exec-angrep kombinert med Unicode høyre-til-venstre-overstyringsteknikker for å omgå Apple Intelligence-beskyttelse; og WebPromptTrap, en indirekte promptinjeksjonssårbarhet som påvirker BrowserOS, som manipulerte brukere gjennom AI-genererte sammendrag av tilsynelatende legitimt innhold.
- Sikkerhetssvakheter som påvirker AI-økosystemer og agentrammeverk, inkludert en sårbarhet i Anthropic Claude Code som muliggjorde avlytting av OAuth-støttet MCP-kommunikasjon gjennom en useriøs npm-pakke; et misbruksscenario for en ekstern oppdateringsmekanisme rettet mot OpenClaw-ferdigheter; phishing-kampanjer med skjult tekst designet for å lure AI-drevne e-postsikkerhetsprodukter; ClaudeBleed-sårbarheten som tillot nettleserutvidelser å utstede uautoriserte kommandoer til Claude; kritiske sårbarheter i Microsoft Semantic Kernel (CVE-2026-25592 og CVE-2026-26030) som er i stand til å eskalere raske injeksjoner i ekstern kodekjøring på vertsnivå; utbredte sikkerhetsfeil i ClawHub- og skills.sh-agentlagre; og angrep mot NVIDIAs NemoClaw-referansestabel som muliggjorde OpenClaw-datautfiltrering gjennom ondsinnede GitHub-lagre og npm-pakker.
Fremtiden for AI-drevne cybertrusler
Etter hvert som avanserte AI-modeller fortsetter å modnes, eksperimenterer nettkriminelle i økende grad med sine offensive evner. Trusselaktører utnytter store språkmodeller for å utvikle mer adaptiv skadelig programvare som er i stand til å endre oppførselen sin for å unngå deteksjonsmekanismer.
I tillegg blir AI-systemer innlemmet i beslutningsprosesser knyttet til skadelig programvare. Disse funksjonene gjør det mulig for skadelig programvare å evaluere kompromitterte miljøer, avgjøre om mål er verdifulle og avgjøre om forholdene er egnet for å distribuere ytterligere nyttelaster.
ChatGPhish-forskningen tjener som nok en påminnelse om at AI-teknologier introduserer helt nye sikkerhetshensyn. Etter hvert som AI-assistenter blir dypt integrert i bedriftens arbeidsflyter, vil beskyttelse mot indirekte promptinjeksjoner, manipulerte sammendrag og tillitsbasert grensesnittmisbruk bli en stadig viktigere del av cybersikkerhetsstrategien.
