ChatGPhish — Renderer Markdown ChatGPT Mengubah Halaman Web Ringkasan Apa Pun Menjadi Permukaan Phishing Langsung; Tidak Ada Patch Setelah 30 Hari

P0 Labs milik Permiso Security mengungkap ChatGPhish pada 2026-05-29: fitur peringkasan web ChatGPT secara membuta mempercayai tautan Markdown dan URL gambar yang berasal dari halaman pihak ketiga yang telah diringkas oleh asisten, merender ulang sebagai elemen yang aktif dan dapat diklik di dalam antarmuka ChatGPT yang terpercaya tanpa pelabelan asal. Setiap penyerang yang mengendalikan halaman web dapat menyematkan Markdown yang dikendalikan penyerang ke halaman tersebut; ketika korban meminta ChatGPT untuk meringkas halaman, respons asisten merender tautan phishing (tidak dapat dibedakan dari konten yang dihasilkan AI), beacon gambar jarak jauh (telemetri pasif/pelacakan), peringatan bergaya sistem yang dipalsukan, dan pivot kode QR yang mengarahkan ulang korban ke perangkat kedua melewati pertahanan URL desktop. Permiso melaporkan kepada OpenAI melalui Bugcrowd pada 29 April, ditindaklanjuti 7 Mei, dan tidak menerima perbaikan sebelum pengungkapan publik 30 hari.

Penyerang menerbitkan atau memodifikasi halaman web apa pun dengan muatan Markdown tertanam kecil yang berisi URL dan tag gambar yang dikendalikan penyerang. Korban meminta ChatGPT ('ringkas URL ini'). Renderer ChatGPT mempercayai dan merender Markdown penyerang sebagai bagian dari responsnya sendiri — tidak ada interaksi pengguna di luar permintaan peringkasan standar yang diperlukan. Serangan ini melewati gerbang email, kontrol DMARC, dan filter phishing karena pengiriman terjadi di dalam sesi HTTPS yang sah ke chatgpt.com.

Antarmuka web ChatGPT (chatgpt.com) dengan penjelajahan web/peringkasan yang diaktifkan; alur kerja enterprise atau pengembang apa pun yang menggunakan ChatGPT untuk meringkas URL eksternal. Kelas kerentanan (renderer mempercayai Markdown pihak ketiga) dapat berlaku untuk alat peringkasan AI lainnya termasuk Perplexity, Microsoft Copilot, dan Google Gemini — tekanan pengungkapan penelitian independen diperkirakan dalam 30–60 hari.

Tidak ada patch yang tersedia per 2026-05-30. Kontrol kompensasi segera: (1) Arahkan semua ringkasan yang dihasilkan AI melalui proxy web aman yang mencegat dan memeriksa URL yang dirender sebelum mencapai workstation analis. (2) Konfigurasikan isolasi browser untuk sesi chatgpt.com di mana analis secara rutin meringkas URL eksternal. (3) Perlakukan tautan yang muncul dalam ringkasan AI dari konten pihak ketiga sebagai tidak terpercaya hingga ChatGPT mengeluarkan perbaikan yang mengonfirmasi pelabelan asal dan sanitasi Markdown untuk konten pihak ketiga. (4) Peringatkan tim SOC bahwa alur kerja intelijen ancaman yang menggunakan ChatGPT untuk menyaring URL eksternal sekarang merupakan vektor phishing potensial.