ChatGPhish-sårbarhet i ChatGPT

Cybersäkerhetsforskare har upptäckt en sårbarhet i OpenAI:s ChatGPT som utnyttjar plattformens förtroende för Markdown-länkar och bilder, vilket möjliggör snabba injektionsattacker och skapar nya möjligheter till nätfiske. Tekniken, kallad ChatGPhish, visar hur AI-driven sammanfattning kan manipuleras för att leverera skadligt innehåll direkt via ett betrott gränssnitt.

Problemet härrör från hur ChatGPT:s svarsrenderare bearbetar Markdown-element som kommer från tredjepartswebbsidor. När chatboten sammanfattar externt innehåll litar den automatiskt på inbäddade Markdown-länkar och bild-URL:er, hämtar fjärrbilder och visar länkar som aktiva, klickbara element i assistentens gränssnitt.

Mekaniken bakom attacken

En hotaktör kan bädda in en liten skadlig nyttolast på en webbsida som senare sammanfattas av ChatGPT. Under renderingsprocessen kan angriparkontrollerade bilder hämtas automatiskt, vilket potentiellt exponerar information som offrets IP-adress, användaragent och hänvisningsinformation.

Utöver informationsläckage möjliggör sårbarheten att skadligt innehåll presenteras på mycket övertygande sätt. Angripare kan rendera nätfiskelänkar direkt i ChatGPT-svar, visa bedrägliga säkerhetsvarningar i systemliknande format och presentera QR-koder som finns på angriparkontrollerad infrastruktur. Dessa QR-koder kan uppmuntra användare att skanna dem med mobila enheter och effektivt kringgå skrivbordsbaserad URL-filtrering och företagssäkerhetskontroller.

Det som gör ChatGPhish särskilt betydelsefullt är inte själva den snabba injektionen, utan det faktum att AI-systemet troget följer inbäddade instruktioner och presenterar det resulterande innehållet som en del av en tillförlitlig sammanfattning. En till synes vanlig webbsida kan därför generera nätfiskelänkar, varningar om förfalskade konton, fjärrbilder och skadliga QR-koder direkt i en AI-assistents svar.

Den växande hotytan för AI-assisterad surfning

Upptäckten belyser en bredare säkerhetsutmaning: sammanfattningar har framträtt som en ny attackyta. Tidigare i mars 2026 visade forskare att specialutformade e-postmeddelanden kunde manipulera Microsoft Copilot genom cross-prompt injection (XPIA), vilket påverkade AI-genererade sammanfattningar genom dolda instruktioner.

I takt med att organisationer i allt högre grad förlitar sig på AI-verktyg för forskning och innehållsanalys kan alla skadliga webbsidor som bearbetas av en AI-assistent introducera angriparstyrda instruktioner i modellens kontext. Detta representerar ett stort skifte inom nätfiske. Istället för att kräva att användare öppnar misstänkta bilagor eller interagerar med skadliga e-postmeddelanden kan angripare utnyttja rutinmässig surfaktivitet och arbetsflöden för AI-sammanfattningar som vapen.

Migreringen av attacker från e-postmiljöer till webbläsarbaserade AI-interaktioner breddar dramatiskt den tillgängliga attackytan. Att bara begära en sammanfattning av en webbsida kan vara tillräckligt för att exponera användare för skadligt innehåll som genereras genom indirekta prompt injection-tekniker.

En växande våg av tekniker för att kringgå AI-säkerhet

Avslöjandet från ChatGPhish kommer mitt i en våg av forskning som avslöjar nya attackmetoder som riktar sig mot artificiell intelligens. Nyligen genomförda resultat inkluderar:

• Jailbreaktekniken Involuntary In-Context Learning (IICL), som utnyttjar konflikter mellan kontextuell inlärning och säkerhetsjustering för att kringgå GPT-5.4-restriktioner; konversationsstrategier med flera varv som gradvis kringgår skyddsåtgärder för stora språkmodeller; typografiska promptinjektionsattacker som döljer instruktioner i visuellt förvrängda bilder; Neural Exec-attacker i kombination med Unicode-tekniker för höger-till-vänster-override för att kringgå Apple Intelligence-skydd; och WebPromptTrap, en indirekt promptinjektionssårbarhet som påverkar BrowserOS och som manipulerar användare genom AI-genererade sammanfattningar av till synes legitimt innehåll.
• Säkerhetsbrister som påverkar AI-ekosystem och agentramverk, inklusive en sårbarhet i Anthropic Claude Code som möjliggjorde avlyssning av OAuth-baserad MCP-kommunikation genom ett oseriöst npm-paket; ett missbruksscenario med en fjärruppdateringsmekanism riktat mot OpenClaw-färdigheter; nätfiskekampanjer med dold text utformade för att lura AI-drivna e-postsäkerhetsprodukter; ClaudeBleed-sårbarheten som gjorde det möjligt för webbläsartillägg att utfärda obehöriga kommandon till Claude; kritiska sårbarheter i Microsoft Semantic Kernel (CVE-2026-25592 och CVE-2026-26030) som kan eskalera snabba injektioner i fjärrkodkörning på värdnivå; utbredda säkerhetsbrister inom agentdatabaser ClawHub och skills.sh; och attacker mot NVIDIAs NemoClaw-referensstack som möjliggjorde OpenClaw-dataexfiltrering genom skadliga GitHub-databaser och npm-paket.

Framtiden för AI-drivna cyberhot

I takt med att avancerade AI-modeller fortsätter att mogna experimenterar cyberbrottslingar i allt högre grad med sina offensiva förmågor. Hotaktörer utnyttjar stora språkmodeller för att utveckla mer adaptiv skadlig kod som kan modifiera sitt beteende för att kringgå detekteringsmekanismer.

Dessutom integreras AI-system i beslutsprocesser kring skadlig programvara. Dessa funktioner gör det möjligt för skadlig programvara att utvärdera komprometterade miljöer, avgöra om måltavlor är värdefulla och avgöra om förhållandena är lämpliga för att distribuera ytterligare nyttolaster.

ChatGPhish-forskningen fungerar som ytterligare en påminnelse om att AI-tekniker introducerar helt nya säkerhetsaspekter. I takt med att AI-assistenter blir djupt integrerade i företagsarbetsflöden kommer skydd mot indirekta promptinjektioner, manipulerade sammanfattningar och förtroendebaserade gränssnittsmissbruk att bli en allt viktigare del av cybersäkerhetsstrategin.