ChatGPT-இல் உள்ள ChatGPhish பாதிப்பு

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், OpenAI-இன் ChatGPT-இல் உள்ள ஒரு பாதுகாப்பு குறைபாட்டைக் கண்டறிந்துள்ளனர். இது Markdown இணைப்புகள் மற்றும் படங்கள் மீதான அந்தத் தளத்தின் நம்பிக்கையைச் சுரண்டி, உடனடி ஊடுருவல் தாக்குதல்களைச் செயல்படுத்துவதோடு, புதிய ஃபிஷிங் வாய்ப்புகளையும் உருவாக்குகிறது. ChatGPhish என்று அழைக்கப்படும் இந்த நுட்பம், நம்பகமான இடைமுகம் வழியாக நேரடியாகத் தீங்கிழைக்கும் உள்ளடக்கத்தை வழங்குவதற்காக, செயற்கை நுண்ணறிவால் இயங்கும் சுருக்கத்தை எவ்வாறு கையாளலாம் என்பதை நிரூபிக்கிறது.

மூன்றாம் தரப்பு வலைப்பக்கங்களிலிருந்து வரும் மார்க்டவுன் கூறுகளை ChatGPT-யின் பதில் ரெண்டரர் கையாளும் விதத்தில் இந்தப் பிரச்சினை எழுகிறது. சாட்பாட் வெளிப்புற உள்ளடக்கத்தைச் சுருக்கும்போது, அது உட்பொதிக்கப்பட்ட மார்க்டவுன் இணைப்புகள் மற்றும் பட URL-களைத் தானாகவே நம்பி, தொலைநிலைப் படங்களைப் பெற்று, அந்த இணைப்புகளை உதவியாளரின் இடைமுகத்தில் செயலில் உள்ள, சொடுக்கக்கூடிய கூறுகளாகக் காட்டுகிறது.

தாக்குதலுக்குப் பின்னால் உள்ள இயக்கவியல்

ஒரு அச்சுறுத்தல் செய்பவர், ChatGPT மூலம் பின்னர் தொகுக்கப்படும் ஒரு வலைப்பக்கத்திற்குள் ஒரு சிறிய தீங்கிழைக்கும் தரவுப் பொதியை உட்பொதிக்க முடியும். அந்தத் தொகுப்புச் செயல்பாட்டின் போது, தாக்குபவரால் கட்டுப்படுத்தப்படும் படங்கள் தானாகவே பெறப்படலாம். இதன் விளைவாக, பாதிக்கப்பட்டவரின் IP முகவரி, User-Agent மற்றும் Referer விவரங்கள் போன்ற தகவல்கள் வெளிப்பட வாய்ப்புள்ளது.

தகவல் கசிவைத் தாண்டி, இந்தப் பாதிப்பு தீங்கிழைக்கும் உள்ளடக்கத்தை மிகவும் நம்பத்தகுந்த வழிகளில் வழங்க அனுமதிக்கிறது. தாக்குபவர்கள் ChatGPT பதில்களுக்குள் நேரடியாக ஃபிஷிங் இணைப்புகளைக் காண்பிக்கலாம், மோசடியான சிஸ்டம் பாணியிலான பாதுகாப்பு எச்சரிக்கைகளைக் காட்டலாம், மேலும் தாக்குபவரின் கட்டுப்பாட்டில் உள்ள உள்கட்டமைப்பில் ஹோஸ்ட் செய்யப்பட்ட QR குறியீடுகளை வழங்கலாம். இந்த QR குறியீடுகள், பயனர்களை மொபைல் சாதனங்களைக் கொண்டு அவற்றை ஸ்கேன் செய்ய ஊக்குவிக்கக்கூடும், இதன் மூலம் டெஸ்க்டாப் அடிப்படையிலான URL வடிகட்டுதல் மற்றும் நிறுவனப் பாதுகாப்பு கட்டுப்பாடுகளைத் திறம்படத் தவிர்க்கலாம்.

ChatGPhish-ஐ குறிப்பாக முக்கியத்துவம் வாய்ந்ததாக ஆக்குவது, அதில் செருகப்படும் அறிவுறுத்தல்கள் அல்ல; மாறாக, அந்தச் செயற்கை நுண்ணறிவு அமைப்பு, உட்பொதிக்கப்பட்ட வழிமுறைகளைத் துல்லியமாகப் பின்பற்றி, அதன் விளைவாக வரும் உள்ளடக்கத்தை ஒரு நம்பகமான சுருக்கத்தின் பகுதியாக வழங்குவதே ஆகும். எனவே, சாதாரணமாகத் தோற்றமளிக்கும் ஒரு வலைப்பக்கத்தால் கூட, ஒரு செயற்கை நுண்ணறிவு உதவியாளரின் பதிலுக்குள்ளேயே நேரடியாக ஃபிஷிங் இணைப்புகள், போலிக் கணக்கு எச்சரிக்கைகள், தொலைநிலைப் படங்கள் மற்றும் தீங்கிழைக்கும் QR குறியீடுகளை உருவாக்க முடியும்.

செயற்கை நுண்ணறிவு உதவியுடன் உலாவுதலின் விரிவடைந்து வரும் அச்சுறுத்தல் பரப்பு

இந்தக் கண்டுபிடிப்பு ஒரு பரந்த பாதுகாப்புச் சவாலை எடுத்துக்காட்டுகிறது: சுருக்கமானது ஒரு புதிய தீங்கிழைக்கும் தாக்குதல் தளமாக உருவெடுத்துள்ளது. முன்னதாக, மார்ச் 2026-ல், ஆராய்ச்சியாளர்கள், சிறப்பாக வடிவமைக்கப்பட்ட மின்னஞ்சல்கள் குறுக்கு-உரையாடல் (XPIA) மூலம் மைக்ரோசாஃப்ட் கோபைலட்டைக் கையாள முடியும் என்றும், மறைக்கப்பட்ட அறிவுறுத்தல்கள் வழியாக செயற்கை நுண்ணறிவால் உருவாக்கப்பட்ட சுருக்கங்களில் செல்வாக்கு செலுத்த முடியும் என்றும் நிரூபித்தனர்.

நிறுவனங்கள் ஆராய்ச்சி மற்றும் உள்ளடக்கப் பகுப்பாய்விற்காக செயற்கை நுண்ணறிவு கருவிகளை அதிகளவில் சார்ந்து வருவதால், ஒரு செயற்கை நுண்ணறிவு உதவியாளரால் செயலாக்கப்படும் எந்தவொரு தீங்கிழைக்கும் வலைப்பக்கமும், தாக்குபவரால் கட்டுப்படுத்தப்படும் வழிமுறைகளை அந்த மாதிரியின் சூழலில் புகுத்தக்கூடும். இது ஃபிஷிங் தந்திரங்களில் ஒரு பெரிய மாற்றத்தைக் குறிக்கிறது. பயனர்களைச் சந்தேகத்திற்கிடமான இணைப்புகளைத் திறக்கவோ அல்லது தீங்கிழைக்கும் மின்னஞ்சல்களுடன் ஈடுபடவோ கட்டாயப்படுத்துவதற்குப் பதிலாக, தாக்குபவர்கள் வழக்கமான உலாவல் செயல்பாடு மற்றும் செயற்கை நுண்ணறிவு சுருக்கப் பணிப்பாய்வுகளை ஆயுதமாக்கிக் கொள்ள முடியும்.

மின்னஞ்சல் சூழல்களிலிருந்து உலாவி அடிப்படையிலான செயற்கை நுண்ணறிவு ஊடாடல்களுக்குத் தாக்குதல்கள் இடம்பெயர்வது, தாக்குதல்களுக்கான வாய்ப்புகளை வியத்தகு முறையில் விரிவுபடுத்துகிறது. ஒரு வலைப்பக்கத்தின் சுருக்கத்தைக் கோருவது மட்டுமே, மறைமுகத் தூண்டுதல் செருகல் நுட்பங்கள் மூலம் உருவாக்கப்படும் தீங்கிழைக்கும் உள்ளடக்கத்திற்குப் பயனர்களை ஆட்படுத்தப் போதுமானதாக இருக்கலாம்.

செயற்கை நுண்ணறிவு பாதுகாப்பு மீறல் நுட்பங்களின் பெருகிவரும் அலை

செயற்கை நுண்ணறிவு அமைப்புகளைக் குறிவைக்கும் புதிய தாக்குதல் முறைகளை வெளிப்படுத்தும் ஆராய்ச்சிகளின் பெருக்கத்திற்கு மத்தியில், ChatGPhish-இன் இந்த வெளிப்பாடு வந்துள்ளது. சமீபத்திய கண்டுபிடிப்புகளில் அடங்குபவை:

• GPT-5.4 கட்டுப்பாடுகளைத் தவிர்ப்பதற்காக, சூழல்சார் கற்றலுக்கும் பாதுகாப்பு சீரமைப்புக்கும் இடையிலான முரண்பாடுகளைப் பயன்படுத்தும் தன்னிச்சையற்ற சூழல்சார் கற்றல் (IICL) ஜெயில்பிரேக் நுட்பம்; பெரிய மொழி மாதிரிப் பாதுகாப்புகளைப் படிப்படியாக மீறும் பல-முறை உரையாடல் உத்திகள்; பார்வைக்கு சிதைக்கப்பட்ட படங்களுக்குள் வழிமுறைகளை மறைக்கும் அச்சுக்கலைத் தூண்டுதல் செருகல் தாக்குதல்கள்; ஆப்பிள் இன்டெலிஜென்ஸ் பாதுகாப்புகளைத் தவிர்ப்பதற்காக, யூனிகோட் வலமிருந்து இடமாக மாற்றும் நுட்பங்களுடன் இணைக்கப்பட்ட நியூரல் எக்ஸெக் தாக்குதல்கள்; மற்றும், சட்டப்பூர்வமானது போல் தோன்றும் உள்ளடக்கத்தின் செயற்கை நுண்ணறிவால் உருவாக்கப்பட்ட சுருக்கங்கள் மூலம் பயனர்களைக் கையாண்ட, பிரவுசர்ஓஎஸ்-ஐப் பாதிக்கும் ஒரு மறைமுகத் தூண்டுதல் செருகல் பாதிப்பான வெப் ப்ராம்ப்ட்ராப்.
• செயற்கை நுண்ணறிவுச் சூழல் அமைப்புகள் மற்றும் ஏஜென்ட் கட்டமைப்புகளைப் பாதிக்கும் பாதுகாப்பு பலவீனங்கள், அவற்றுள் அடங்குபவை: ஒரு முறைகேடான npm தொகுப்பின் மூலம் OAuth-ஆதரவுடைய MCP தகவல்தொடர்புகளை இடைமறிக்க வழிவகுத்த Anthropic Claude Code-இல் உள்ள ஒரு பாதிப்பு; OpenClaw திறன்களை இலக்காகக் கொண்ட ஒரு தொலைநிலை மேம்படுத்தல் பொறிமுறைத் தவறான பயன்பாட்டுச் சூழல்; செயற்கை நுண்ணறிவால் இயங்கும் மின்னஞ்சல் பாதுகாப்புத் தயாரிப்புகளை ஏமாற்றுவதற்காக வடிவமைக்கப்பட்ட மறைக்கப்பட்ட உரை ஃபிஷிங் பிரச்சாரங்கள்; உலாவி நீட்டிப்புகள் Claude-க்கு அங்கீகரிக்கப்படாத கட்டளைகளை வழங்க அனுமதித்த ClaudeBleed பாதிப்பு; ஹோஸ்ட்-நிலை தொலைநிலைக் குறியீடு செயலாக்கத்தில் உடனடிச் செருகல்களை அதிகரிக்கக்கூடிய Microsoft Semantic Kernel-இல் உள்ள முக்கியமான பாதிப்புகள் (CVE-2026-25592 மற்றும் CVE-2026-26030); ClawHub மற்றும் skills.sh ஏஜென்ட் களஞ்சியங்களுக்குள் பரவலான பாதுகாப்புக் குறைபாடுகள்; மற்றும் தீங்கிழைக்கும் GitHub களஞ்சியங்கள் மற்றும் npm தொகுப்புகள் மூலம் OpenClaw தரவுக் கசிவை சாத்தியமாக்கிய NVIDIA-வின் NemoClaw குறிப்பு அடுக்கிற்கு எதிரான தாக்குதல்கள்.

செயற்கை நுண்ணறிவால் இயக்கப்படும் இணைய அச்சுறுத்தல்களின் எதிர்காலம்

மேம்பட்ட செயற்கை நுண்ணறிவு மாதிரிகள் தொடர்ந்து முதிர்ச்சியடைந்து வருவதால், இணையக் குற்றவாளிகள் அவற்றின் தாக்குதல் திறன்களைக் கொண்டு அதிகளவில் பரிசோதனை செய்து வருகின்றனர். அச்சுறுத்தல் செய்பவர்கள், கண்டறியும் வழிமுறைகளிலிருந்து தப்பிப்பதற்காகத் தங்கள் நடத்தையை மாற்றியமைக்கும் திறன் கொண்ட, மேலும் தகவமைத்துக் கொள்ளக்கூடிய தீம்பொருளை உருவாக்க, பெரிய மொழி மாதிரிகளைப் பயன்படுத்துகின்றனர்.

மேலும், தீம்பொருளின் முடிவெடுக்கும் செயல்முறைகளில் செயற்கை நுண்ணறிவு அமைப்புகள் இணைக்கப்பட்டு வருகின்றன. இந்தத் திறன்கள், தீங்கிழைக்கும் மென்பொருளுக்குப் பாதிக்கப்பட்ட சூழல்களை மதிப்பிடவும், இலக்குகள் மதிப்புமிக்கவையா என்பதைத் தீர்மானிக்கவும், கூடுதல் தரவுகளைப் பயன்படுத்துவதற்குச் சூழ்நிலைகள் பொருத்தமானவையா என்பதை முடிவு செய்யவும் உதவுகின்றன.

செயற்கை நுண்ணறிவுத் தொழில்நுட்பங்கள் முற்றிலும் புதிய பாதுகாப்பு அம்சங்களை அறிமுகப்படுத்துகின்றன என்பதற்கு ChatGPhish ஆய்வு மற்றுமொரு நினைவூட்டலாக அமைகிறது. செயற்கை நுண்ணறிவு உதவியாளர்கள் நிறுவனங்களின் பணிப்பாய்வுகளில் ஆழமாக ஒருங்கிணைக்கப்படுவதால், மறைமுகத் தூண்டுதல் ஊடுருவல்கள், கையாளப்பட்ட சுருக்கங்கள் மற்றும் நம்பிக்கை அடிப்படையிலான இடைமுகத் துஷ்பிரயோகங்கள் ஆகியவற்றிலிருந்து பாதுகாப்பது, இணையப் பாதுகாப்பு உத்தியின் மிக முக்கியமான அங்கமாக மாறும்.