ChatGPhish：ChatGPT Markdown漏洞导致提示注入钓鱼攻击

ChatGPhish：ChatGPT Markdown漏洞导致提示注入钓鱼攻击

新披露的ChatGPT钓鱼漏洞“ChatGPhish”正在引发严重担忧，即AI辅助的网页浏览可能被反用于攻击其本应帮助的用户。Permiso Security的研究人员揭示，ChatGPT对Markdown格式链接和图片的内置信任为攻击者打开了大门，使其能够将恶意提示直接注入AI的网页摘要中，从而将一项常规生产力功能武器化为钓鱼投递机制。

ChatGPhish如何利用ChatGPT对Markdown的信任

当ChatGPT浏览网页并为用户总结内容时，它会处理并渲染Markdown格式，包括超链接和嵌入式图片。ChatGPhish漏洞通过将特制指令嵌入网页内容来利用这一行为。由于ChatGPT将网页内容视为可信输入，注入的指令会重定向AI的输出，迫使其显示具有欺骗性的链接，或指示AI以虚假借口向用户索要凭据。

这是一种间接提示注入攻击。与用户故意用精心设计的输入操纵AI的直接提示注入不同，间接提示注入将恶意命令隐藏在AI自主获取和处理的外部内容中。用户永远不会看到这些隐藏指令；他们只会看到攻击者设计让AI产生的输出。在ChatGPhish案例中，这些输出可能包含貌似来自AI本身的令人信服的钓鱼提示，为其披上一层虚假的合法性外衣。

此事尤为值得关注的地方在于，攻击面并非AI底层模型，而是其对自己总结的网页内容的信任。攻击者无需攻破OpenAI的系统，只需控制或操纵用户可能要求ChatGPT总结的网页即可。

哪些人面临最大风险，哪些数据可能被泄露

任何使用ChatGPT网页浏览或摘要功能的用户都面临潜在风险，但某些群体的风险更高。依赖ChatGPT快速总结文章、文档或第三方页面的用户最有可能在不知情的情况下遇到注入内容。已将ChatGPT整合到涉及外部数据源的工作流程中的企业用户面临的风险更大。

面临风险的数据主要是凭据层面的信息。一次成功的ChatGPhish攻击可能诱骗用户通过AI呈现为合法的钓鱼页面提交密码、认证令牌或账户详情。鉴于已有数十亿凭据在泄露库中流传，包括RockYou2024泄露事件中暴露的190亿个密码，任何能绕过用户正常警惕性的新钓鱼途径都令人严重关切。

与支付服务、企业系统或敏感个人数据相关联的账户是最具吸引力的目标。因为钓鱼提示以ChatGPT回复的自然组成部分出现，很可能绕过用户在识别传统钓鱼邮件时所使用的心理过滤机制。

公共网络和VPN用户为何面临更高风险

公共Wi-Fi网络上的用户面临ChatGPhish带来的复合风险。在未加密或安全措施薄弱的网络上，流量拦截是现实的威胁。虽然ChatGPhish攻击本身不需要网络级别的访问，但被入侵的网络环境与被篡改的AI摘要相结合，会产生特别危险的情形。在咖啡店或机场捕获的钓鱼凭据可被立即使用，用户毫无机会察觉泄露。

使用VPN通过加密用户设备与互联网之间的流量来解决其中一层问题，降低网络级别拦截的风险。然而，这并不能阻止ChatGPT处理恶意网页内容并显示出注入的提示。ChatGPhish攻击发生在应用层，这意味着仅靠网络层面的防护是不够的。无论网络流量是否已加密，用户都需对AI生成摘要中出现的意外凭据请求保持警惕。

避免成为ChatGPhish目标的实用步骤

在OpenAI发布最终补丁或进行架构性更改以阻止基于Markdown的提示注入之前，用户可采取几个实用步骤来降低风险。

第一，对通过ChatGPT摘要出现的任何凭据或登录请求，立即保持警惕。ChatGPT没有任何正当理由在网页摘要中索要密码或认证令牌。如果看到此类请求，请关闭会话，直接通过浏览器导航至相关网站。

第二，谨慎选择要求ChatGPT总结的页面，特别是来自不熟悉或不信任来源的页面。攻击者控制的页面是ChatGPhish载荷的主要投递机制。

第三，现在就审查您整体账户和凭据的卫生状况，而不是在事件发生之后。每个账户使用强大且唯一的密码，意味着即使钓鱼攻击捕获了一个凭据，损害也能得到控制。鉴于大规模泄露后凭据在攻击中被轻易复用，这是不容妥协的底线。

最后，关注OpenAI关于ChatGPhish的安全公告，及时获取补丁或缓解措施。及时应用更新是防御已披露漏洞的最简单手段之一。

这对你意味着什么

ChatGPhish提醒我们，AI工具会继承其处理内容的风险。信任AI摘要并不等同于信任底层来源，而攻击者已经在利用这一差距。该攻击不需要攻击者具备高超的技术技能，这意味着它很可能从安全研究领域扩散到活跃的犯罪应用中。

你现在能采取的最可行步骤是审查自己的凭据安全性。如果多个账户使用相同的密码，一次成功的ChatGPhish钓鱼尝试就可能连锁引发更大范围的泄露。查阅RockYou2024泄露事件的报道是了解凭据威胁环境的规模的一个有用起点，正是这样的环境使得ChatGPhish之类的攻击后果如此严重。在所有关键账户上使用唯一、强壮的密码和多因素身份认证，依然是当AI工具可能被变为钓鱼界面时，你最可靠的第一道防线。