ChatGPT 中的 ChatGPhish 漏洞

漏洞年Mezo年

翻譯為：

網路安全研究人員發現 OpenAI 的 ChatGPT 存在一個漏洞，該漏洞利用了平台對 Markdown 連結和圖像的信任機制，從而能夠發起快速注入攻擊，並製造新的網路釣魚機會。這項名為 ChatGPhish 的技術展示瞭如何操縱人工智慧驅動的摘要功能，透過可信任介面直接傳播惡意內容。

問題源自於 ChatGPT 的回應渲染器處理來自第三方網頁的 Markdown 元素的方式。當聊天機器人總結外部內容時，它會自動信任嵌入的 Markdown 連結和圖片 URL，獲取遠端圖片並將連結顯示為助手介面中可點擊的元素。

攻擊者可以將一段小型惡意程式碼嵌入網頁中，該程式碼隨後會被 ChatGPT 進行摘要。在渲染過程中，攻擊者控制的影像可能會自動獲取，可能會洩漏受害者的 IP 位址、使用者代理和來源頁面等資訊。

除了資訊外洩之外，該漏洞還允許以極具迷惑性的方式呈現惡意內容。攻擊者可以直接在 ChatGPT 回復中嵌入釣魚鏈接，顯示虛假的系統級安全警告，並展示託管在攻擊者控制的基礎設施上的二維碼。這些二維碼可能會誘使用戶使用行動裝置掃描，從而有效繞過桌面端的 URL 過濾和企業安全控制。

ChatGPhish 的特別之處不在於提示訊息注入本身，而是在於其人工智慧系統能夠忠實地執行嵌入的指令，並將產生的文字作為可信摘要的一部分呈現出來。因此，一個看似普通的網頁可以直接在人工智慧助理的回覆中產生釣魚連結、偽造的帳戶警報、遠端圖像和惡意二維碼。

這項發現凸顯了一個更廣泛的安全挑戰：摘要功能已成為一個新的對抗性攻擊面。早在2026年3月，研究人員就已證明，精心建構的電子郵件可以透過跨提示注入（XPIA）技術操縱微軟Copilot，透過隱藏指令影響人工智慧產生的摘要。

隨著企業越來越依賴人工智慧工具進行研究和內容分析，任何經人工智慧助理處理的惡意網頁都可能將攻擊者控制的指令引入模型上下文。這標誌著網路釣魚策略的重大轉變。攻擊者不再需要使用者開啟可疑附件或與惡意電子郵件互動，而是可以利用日常瀏覽活動和人工智慧摘要工作流程進行攻擊。

攻擊從電子郵件環境向基於瀏覽器的AI互動的遷移，大大擴大了攻擊面。僅僅請求網頁摘要就足以使用戶暴露於透過間接提示注入技術產生的惡意內容。

ChatGPhish漏洞的揭露正值大量研究揭示針對人工智慧系統的新型攻擊方法之際。近期研究發現包括：

非自願情境學習 (IICL) 越獄技術利用上下文學習和安全對齊之間的衝突來繞過 GPT-5.4 的限制；多輪對話策略逐步繞過大型語言模型的安全措施；將指令隱藏在視覺扭曲圖像中的排版提示注入攻擊；結合 Unicode 從右到左覆蓋技術的神經發射攻擊來繞過 Appleliser 的保護漏洞以及一種保護功能；產生的看似合法內容的摘要來操縱使用者。
影響人工智慧生態系統和代理框架的安全漏洞包括：Anthropic Claude 程式碼中的一個漏洞，該漏洞允許透過惡意 npm 套件攔截 OAuth 支援的 MCP 通訊；針對 OpenClaw 技能的遠端更新機制濫用場景；旨在欺騙人工智慧驅動的電子郵件安全產品的隱藏文字網路釣魚活動；Claudek 命令的漏洞，該漏洞允許向人工智慧驅動中的嚴重漏洞（CVE-2026-25592 和 CVE-2026-26030），這些漏洞能夠將提示注入升級為主機級遠端程式碼執行；ClawHub 和 skills.sh 代理程式儲存庫中普遍存在的安全漏洞；以及針對 NVIDIA NemoClaw 參考堆疊資料庫的攻擊，這些儲存庫可透過 GHubitlaw nHubit

隨著先進人工智慧模型的不斷成熟，網路犯罪分子正日益嘗試利用其攻擊能力。威脅行為者正在利用大型語言模型開發更具適應性的惡意軟體，這些惡意軟體能夠改變自身行為以逃避偵測機制。

此外，人工智慧系統正被融入惡意軟體的決策過程中。這些功能使惡意軟體能夠評估受感染的環境，判斷目標是否有價值，並決定是否適合部署其他有效載荷。

ChatGPhish 的研究再次提醒我們，人工智慧技術引入了全新的安全考量。隨著人工智慧助理與企業工作流程的深度整合，防範間接提示注入、篡改摘要和基於信任的介面濫用將成為網路安全策略中日益關鍵的組成部分。

搜索