기술 설명
Permiso Security의 P0 Labs는 2026-05-29에 ChatGPhish를 공개했습니다: ChatGPT의 웹 요약 기능은 어시스턴트가 요약한 타사 페이지에서 발생하는 마크다운 링크 및 이미지 URL을 무조건 신뢰하며, 출처 라벨링 없이 신뢰할 수 있는 ChatGPT 인터페이스 내에서 라이브하고 클릭 가능한 요소로 렌더링합니다. 웹페이지를 제어하는 모든 공격자는 해당 페이지에 공격자 제어 마크다운을 포함할 수 있습니다. 피해자가 ChatGPT에 페이지 요약을 요청하면, 어시스턴트의 응답은 피싱 링크(AI 생성 콘텐츠와 구별 불가), 원격 이미지 비콘(수동 원격측정/추적), 스푸핑된 시스템 스타일 경고, 그리고 데스크톱 URL 방어를 우회하여 피해자를 두 번째 장치로 리디렉션하는 QR 코드 피벗을 렌더링합니다. Permiso는 4월 29일 Bugcrowd를 통해 OpenAI에 보고했으며, 5월 7일 추가 보고했고, 30일 공개 공개 전에 수정사항을 받지 못했습니다.
공격 경로
공격자는 공격자 제어 URL 및 이미지 태그를 포함하는 작은 임베드된 마크다운 페이로드가 있는 웹페이지를 게시하거나 수정합니다. 피해자가 ChatGPT에 '이 URL 요약'을 요청합니다. ChatGPT의 렌더러는 공격자의 마크다운을 신뢰하고 자신의 응답의 일부로 렌더링합니다 — 표준 요약 프롬프트 이상의 사용자 상호작용이 필요하지 않습니다. 이 공격은 전자메일 게이트웨이, DMARC 제어, 피싱 필터를 우회합니다. 왜냐하면 전달이 chatgpt.com에 대한 합법적인 HTTPS 세션 내에서 발생하기 때문입니다.
영향받는 시스템
웹 브라우징/요약이 활성화된 ChatGPT 웹 인터페이스(chatgpt.com); 외부 URL을 요약하기 위해 ChatGPT를 사용하는 모든 엔터프라이즈 또는 개발자 워크플로우. 취약점 클래스(타사 마크다운의 렌더러 신뢰)는 Perplexity, Microsoft Copilot, Google Gemini를 포함한 다른 AI 요약 도구에 적용될 수 있습니다 — 30~60일 이내에 독립적인 연구 공개 압력이 예상됩니다.
완화 방안
2026-05-30 현재 패치 사용 불가. 즉시 보완 제어: (1) 모든 AI 생성 요약을 보안 웹 프록시를 통해 라우팅하여 렌더링된 URL을 분석가 워크스테이션에 도달하기 전에 가로채고 검사합니다. (2) 분석가가 정기적으로 외부 URL을 요약하는 chatgpt.com 세션에 대해 브라우저 격리를 구성합니다. (3) ChatGPT가 출처 라벨링 및 타사 콘텐츠에 대한 마크다운 새니타이제이션을 확인하는 수정사항을 발표할 때까지 타사 콘텐츠의 AI 요약에 나타나는 링크를 신뢰할 수 없는 것으로 취급합니다. (4) SOC 팀에 외부 URL을 분류하기 위해 ChatGPT를 사용하는 위협 인텔리전스 워크플로우가 이제 잠재적 피싱 벡터임을 알립니다.