ChatGPhish-kwetsbaarheid in ChatGPT
Onderzoekers op het gebied van cyberbeveiliging hebben een kwetsbaarheid ontdekt in OpenAI's ChatGPT die misbruik maakt van het vertrouwen dat het platform stelt in Markdown-links en -afbeeldingen. Dit maakt snelle injectieaanvallen mogelijk en creëert nieuwe phishingmogelijkheden. De techniek, ChatGPhish genaamd, laat zien hoe AI-gestuurde samenvattingen kunnen worden gemanipuleerd om kwaadaardige inhoud rechtstreeks via een vertrouwde interface te verspreiden.
Het probleem komt voort uit de manier waarop de responsrenderer van ChatGPT Markdown-elementen verwerkt die afkomstig zijn van externe webpagina's. Wanneer de chatbot externe inhoud samenvat, vertrouwt hij automatisch op ingesloten Markdown-links en afbeeldings-URL's, haalt hij externe afbeeldingen op en geeft hij links weer als actieve, klikbare elementen binnen de interface van de assistent.
Inhoudsopgave
De mechanismen achter de aanval
Een kwaadwillende actor kan een kleine, schadelijke payload in een webpagina verbergen, die vervolgens door ChatGPT wordt samengevat. Tijdens het renderproces kunnen door de aanvaller beheerde afbeeldingen automatisch worden opgehaald, waardoor mogelijk informatie zoals het IP-adres, de User-Agent en de Referer-gegevens van het slachtoffer openbaar worden gemaakt.
Naast het lekken van informatie, maakt de kwetsbaarheid het mogelijk om kwaadaardige inhoud op zeer overtuigende wijze te presenteren. Aanvallers kunnen phishinglinks rechtstreeks in ChatGPT-reacties weergeven, frauduleuze beveiligingswaarschuwingen in systeemstijl tonen en QR-codes presenteren die worden gehost op door de aanvaller beheerde infrastructuur. Deze QR-codes kunnen gebruikers ertoe aanzetten ze met mobiele apparaten te scannen, waardoor URL-filtering op desktops en beveiligingsmaatregelen van bedrijven effectief worden omzeild.
Wat ChatGPhish zo bijzonder maakt, is niet zozeer de promptinjectie zelf, maar het feit dat het AI-systeem de ingebedde instructies nauwgezet volgt en de resulterende inhoud presenteert als onderdeel van een betrouwbare samenvatting. Een ogenschijnlijk gewone webpagina kan daardoor phishinglinks, waarschuwingen voor nepaccounts, externe afbeeldingen en kwaadaardige QR-codes genereren, rechtstreeks in de reactie van een AI-assistent.
Het groeiende risico van AI-ondersteund browsen
De ontdekking benadrukt een bredere beveiligingsuitdaging: samenvattingen zijn een nieuw kwetsbaar punt voor aanvallen geworden. Eerder, in maart 2026, toonden onderzoekers aan dat speciaal opgestelde e-mails Microsoft Copilot konden manipuleren via cross-prompt injection (XPIA), waardoor AI-gegenereerde samenvattingen werden beïnvloed door middel van verborgen instructies.
Naarmate organisaties steeds meer gebruikmaken van AI-tools voor onderzoek en contentanalyse, kan elke kwaadaardige webpagina die door een AI-assistent wordt verwerkt, instructies van de aanvaller in de context van het model introduceren. Dit betekent een grote verschuiving in phishingtactieken. In plaats van gebruikers te verplichten verdachte bijlagen te openen of op kwaadaardige e-mails te reageren, kunnen aanvallers routinematig surfgedrag en AI-samenvattingsworkflows misbruiken.
De verschuiving van aanvallen van e-mailomgevingen naar browsergebaseerde AI-interacties vergroot het potentiële aanvalsoppervlak aanzienlijk. Het simpelweg opvragen van een samenvatting van een webpagina kan al voldoende zijn om gebruikers bloot te stellen aan kwaadaardige inhoud die gegenereerd wordt via indirecte promptinjectietechnieken.
Een groeiende golf van AI-beveiligingstechnieken
De onthulling van ChatGPhish komt te midden van een golf van onderzoek dat nieuwe aanvalsmethoden onthult die gericht zijn op systemen met kunstmatige intelligentie. Recente bevindingen zijn onder meer:
- De jailbreaktechniek Involuntary In-Context Learning (IICL), die conflicten tussen contextueel leren en veiligheidsafstemming exploiteert om GPT-5.4-beperkingen te omzeilen; meerstapsgespreksstrategieën die geleidelijk grote taalmodelbeveiligingen omzeilen; typografische promptinjectieaanvallen die instructies verbergen in visueel vervormde afbeeldingen; Neural Exec-aanvallen in combinatie met Unicode-overridetechnieken van rechts naar links om Apple Intelligence-beveiligingen te omzeilen; en WebPromptTrap, een indirecte promptinjectiekwetsbaarheid die BrowserOS trof en gebruikers manipuleerde via door AI gegenereerde samenvattingen van ogenschijnlijk legitieme inhoud.
- Beveiligingslekken die AI-ecosystemen en agentframeworks treffen, waaronder een kwetsbaarheid in Anthropic Claude Code die het mogelijk maakte om OAuth-ondersteunde MCP-communicatie te onderscheppen via een malafide npm-pakket; een scenario voor misbruik van het mechanisme voor updates op afstand gericht op OpenClaw-vaardigheden; phishingcampagnes met verborgen tekst die zijn ontworpen om AI-gestuurde e-mailbeveiligingsproducten te misleiden; de ClaudeBleed-kwetsbaarheid die browserextensies in staat stelde ongeautoriseerde opdrachten naar Claude te sturen; kritieke kwetsbaarheden in Microsoft Semantic Kernel (CVE-2026-25592 en CVE-2026-26030) die promptinjecties kunnen escaleren naar uitvoering van code op afstand op hostniveau; wijdverspreide beveiligingslekken in de ClawHub- en skills.sh-agentrepositories; en aanvallen op NVIDIA's NemoClaw-referentiestack die het mogelijk maakten om OpenClaw-gegevens te exfiltreren via kwaadwillende GitHub-repositories en npm-pakketten.
De toekomst van door AI aangedreven cyberdreigingen
Naarmate geavanceerde AI-modellen zich verder ontwikkelen, experimenteren cybercriminelen steeds vaker met hun offensieve mogelijkheden. Kwaadwillenden maken gebruik van grote taalmodellen om adaptievere malware te ontwikkelen die zijn gedrag kan aanpassen om detectiemechanismen te omzeilen.
Bovendien worden AI-systemen geïntegreerd in de besluitvormingsprocessen van malware. Deze mogelijkheden stellen kwaadaardige software in staat om gecompromitteerde omgevingen te evalueren, te bepalen of doelwitten waardevol zijn en te beslissen of de omstandigheden geschikt zijn voor het inzetten van aanvullende payloads.
Het ChatGPhish-onderzoek dient als een nieuwe herinnering dat AI-technologieën geheel nieuwe beveiligingsaspecten met zich meebrengen. Naarmate AI-assistenten steeds dieper geïntegreerd raken in bedrijfsprocessen, wordt bescherming tegen indirecte promptinjecties, gemanipuleerde samenvattingen en misbruik van op vertrouwen gebaseerde interfaces een steeds crucialer onderdeel van de cybersecuritystrategie.
