ChatGPT 中的 ChatGPhish 漏洞

通过Mezo在漏洞

翻译为：

网络安全研究人员发现 OpenAI 的 ChatGPT 存在一个漏洞，该漏洞利用了平台对 Markdown 链接和图像的信任机制，从而能够发起快速注入攻击，并制造新的网络钓鱼机会。这项名为 ChatGPhish 的技术展示了如何操纵人工智能驱动的摘要功能，通过可信界面直接传播恶意内容。

问题源于 ChatGPT 的响应渲染器处理来自第三方网页的 Markdown 元素的方式。当聊天机器人总结外部内容时，它会自动信任嵌入的 Markdown 链接和图片 URL，获取远程图片并将链接显示为助手界面中可点击的元素。

攻击者可以将一段小型恶意代码嵌入网页中，该代码随后会被 ChatGPT 进行摘要。在渲染过程中，攻击者控制的图像可能会被自动获取，从而可能泄露受害者的 IP 地址、用户代理和来源页面等信息。

除了信息泄露之外，该漏洞还允许以极具迷惑性的方式呈现恶意内容。攻击者可以直接在 ChatGPT 回复中嵌入钓鱼链接，显示虚假的系统级安全警告，并展示托管在攻击者控制的基础设施上的二维码。这些二维码可能会诱使用户使用移动设备扫描，从而有效绕过桌面端的 URL 过滤和企业安全控制。

ChatGPhish 的特别之处不在于提示信息注入本身，而在于其人工智能系统能够忠实地执行嵌入的指令，并将生成的文本作为可信摘要的一部分呈现出来。因此，一个看似普通的网页可以直接在人工智能助手的回复中生成钓鱼链接、伪造的账户警报、远程图像和恶意二维码。

这一发现凸显了一个更广泛的安全挑战：摘要功能已成为一个新的对抗性攻击面。早在2026年3月，研究人员就已证明，精心构造的电子邮件可以通过跨提示注入（XPIA）技术操纵微软Copilot，通过隐藏指令影响人工智能生成的摘要。

随着企业越来越依赖人工智能工具进行研究和内容分析，任何经人工智能助手处理的恶意网页都可能将攻击者控制的指令引入模型上下文。这标志着网络钓鱼策略的重大转变。攻击者不再需要用户打开可疑附件或与恶意电子邮件互动，而是可以利用日常浏览活动和人工智能摘要工作流程进行攻击。

攻击从电子邮件环境向基于浏览器的AI交互的迁移，极大地扩大了攻击面。仅仅请求网页摘要就足以使用户暴露于通过间接提示注入技术生成的恶意内容。

ChatGPhish漏洞的披露正值大量研究揭示针对人工智能系统的新型攻击方法之际。近期研究发现包括：

非自愿上下文学习 (IICL) 越狱技术利用上下文学习和安全对齐之间的冲突来绕过 GPT-5.4 的限制；多轮对话策略逐步绕过大型语言模型的安全措施；将指令隐藏在视觉扭曲图像中的排版提示注入攻击；结合 Unicode 从右到左覆盖技术的神经执行攻击来绕过 Apple Intelligence 的保护；以及 WebPromptTrap，一种影响 BrowserOS 的间接提示注入漏洞，它通过 AI 生成的看似合法内容的摘要来操纵用户。
影响人工智能生态系统和代理框架的安全漏洞包括：Anthropic Claude 代码中的一个漏洞，该漏洞允许通过恶意 npm 包拦截 OAuth 支持的 MCP 通信；针对 OpenClaw 技能的远程更新机制滥用场景；旨在欺骗人工智能驱动的电子邮件安全产品的隐藏文本网络钓鱼活动；ClaudeBleed 漏洞，该漏洞允许浏览器扩展程序向 Claude 发出未经授权的命令；Microsoft Semantic Kernel 中的严重漏洞（CVE-2026-25592 和 CVE-2026-26030），这些漏洞能够将提示注入升级为主机级远程代码执行；ClawHub 和 skills.sh 代理存储库中普遍存在的安全漏洞；以及针对 NVIDIA NemoClaw 参考堆栈的攻击，这些攻击允许通过恶意 GitHub 存储库和 npm 包窃取 OpenClaw 数据。

随着先进人工智能模型的不断成熟，网络犯罪分子正日益尝试利用其攻击能力。威胁行为者正在利用大型语言模型开发更具适应性的恶意软件，这些恶意软件能够改变自身行为以逃避检测机制。

此外，人工智能系统正被融入恶意软件的决策过程中。这些功能使恶意软件能够评估受感染的环境，判断目标是否具有价值，并决定是否适合部署其他有效载荷。

ChatGPhish 的研究再次提醒我们，人工智能技术引入了全新的安全考量。随着人工智能助手与企业工作流程的深度融合，防范间接提示注入、篡改摘要和基于信任的接口滥用将成为网络安全战略中日益关键的组成部分。

搜索