技術的な説明
Permiso SecurityのP0 Labsは2026-05-29にChatGPhishを公開:ChatGPTのWeb要約機能は、アシスタントが要約したサードパーティページから発信されるMarkdownリンクと画像URLを盲目的に信頼し、発信元ラベルなしで信頼されたChatGPTインターフェース内でそれらをライブでクリック可能な要素としてレンダリングします。Webページを制御する攻撃者は、そのページに攻撃者制御のMarkdownを埋め込むことができます。被害者がChatGPTにページを要約するよう求めると、アシスタントの応答はフィッシングリンク(AI生成コンテンツと区別不可)、リモート画像ビーコン(パッシブテレメトリ/追跡)、なりすましシステムスタイルアラート、およびデスクトップURL防御をバイパスして被害者を別のデバイスにリダイレクトするQRコードピボットをレンダリングします。Permisoは4月29日にBugcrowd経由でOpenAIに報告し、5月7日にフォローアップを行いましたが、30日間の公開開示前に修正を受け取りませんでした。
攻撃経路
攻撃者は、攻撃者制御のURLと画像タグを含む小さな埋め込みMarkdownペイロードを含むあらゆるWebページを発行または変更します。被害者がChatGPTに要求します(「このURLを要約してください」)。ChatGPTのレンダラーは攻撃者のMarkdownを信頼し、独自の応答の一部としてレンダリングします — 標準的な要約プロンプト以外のユーザーインタラクションは不要です。この攻撃は、配信がchatgpt.comへの正当なHTTPSセッション内で発生するため、メールゲートウェイ、DMARC制御、およびフィッシングフィルターをバイパスします。
影響を受けるシステム
ChatGPT Webインターフェース(chatgpt.com)(Web閲覧/要約機能有効)、外部URLを要約するためにChatGPTを使用するあらゆるエンタープライズまたは開発者ワークフロー。脆弱性クラス(サードパーティMarkdownに対するレンダラー信頼)は、Perplexity、Microsoft Copilot、Google Geminiを含む他のAI要約ツールに適用される可能性があります — 30~60日以内に独立した研究開示圧力が予想されます。
緩和策
2026-05-30の時点でパッチは利用できません。即座の代償的制御:(1)すべてのAI生成要約を、レンダリングされたURLが分析ワークステーションに到達する前にそれらをインターセプトして検査するセキュアなWebプロキシ経由でルートします。(2)分析者が日常的に外部URLを要約するchatgpt.comセッションに対してブラウザ分離を構成します。(3)ChatGPTが発信元ラベリングとサードパーティコンテンツのMarkdownサニタイゼーションを確認する修正を発行するまで、サードパーティコンテンツのAI要約に表示されるリンクを信頼されていないものとして扱います。(4)外部URLをトリアージするためにChatGPTを使用する脅威インテリジェンスワークフローが潜在的なフィッシングベクトルであることをSOCチームに警告します。