- 27,154
- 46
- 8 Ноя 2022
Зачем хакерам взламывать браузер, если можно просто скормить вашему ИИ вредоносные инструкции.
Обычная веб-страница может стать приманкой не хуже фишингового письма, если её содержимое пересказывает ИИ-помощник . Новое исследование показало, как злоумышленник способен спрятать инструкции прямо на сайте, а затем добиться, чтобы ChatGPT вывел в своём ответе поддельное предупреждение, ссылку или QR-код.
Автор работы Анди Ахмети из компании Permiso назвал технику ChatGPhish . По его данным, проблема проявляется, когда пользователь открывает страницу в браузере и просит ChatGPT кратко пересказать её содержимое. В тестах использовался Firefox, но сам браузер автор не считает источником уязвимости. Риск связан с тем, как ИИ-сервис обрабатывает сторонний контент и показывает результат в доверенном интерфейсе.
Сценарий строится на внедрении текстовой инструкции в обычную страницу, например, README на GitHub, статью, документацию или маркетинговый сайт. Видимая часть страницы может выглядеть легитимно, а скрытый или малозаметный фрагмент задаёт модели нужный формат ответа. После пересказа ChatGPT выводит нормальное резюме, но вместе с ним добавляет навязанный злоумышленником блок, похожий на уведомление аккаунта.
В демонстрации такой блок сообщал о добавлении нового устройства и предлагал перейти по ссылке. Для пользователя опасность в том, что ссылка появляется уже внутри ответа ChatGPT и визуально может восприниматься как часть сообщения помощника, а не как элемент, пришедший со сторонней страницы.
Отдельный вариант атаки использует Markdown-изображения. Если в ответ попадает QR-код с контролируемого злоумышленником сервера, интерфейс может автоматически загрузить и показать картинку. При сканировании жертва переходит на внешний сайт с телефона, минуя привычные защитные механизмы рабочего браузера, включая предпросмотр ссылки при наведении и проверку домена менеджером паролей.
Ещё один сценарий связан с пассивной слежкой. При загрузке удалённого изображения сервер атакующего может получить IP-адрес, User-Agent, Referer, если заголовок передаётся, и точное время обращения. Таких данных достаточно, чтобы понять, что конкретная цель открыла страницу и попросила ChatGPT её пересказать.
Ахмети сообщил, что передал материалы в OpenAI через Bugcrowd в конце апреля 2026 года. По первой заявке проблему не удалось воспроизвести, повторную сочли неприменимой, а затем связали с ранее известной проблемой. 29 мая автор опубликовал исследование, чтобы показать более широкий риск: фишинг , QR-переходы и отслеживание могут приходить не из письма, а из обычной страницы, пересказанной ИИ-сервисом.
Обычная веб-страница может стать приманкой не хуже фишингового письма, если её содержимое пересказывает ИИ-помощник . Новое исследование показало, как злоумышленник способен спрятать инструкции прямо на сайте, а затем добиться, чтобы ChatGPT вывел в своём ответе поддельное предупреждение, ссылку или QR-код.
Автор работы Анди Ахмети из компании Permiso назвал технику ChatGPhish . По его данным, проблема проявляется, когда пользователь открывает страницу в браузере и просит ChatGPT кратко пересказать её содержимое. В тестах использовался Firefox, но сам браузер автор не считает источником уязвимости. Риск связан с тем, как ИИ-сервис обрабатывает сторонний контент и показывает результат в доверенном интерфейсе.
Сценарий строится на внедрении текстовой инструкции в обычную страницу, например, README на GitHub, статью, документацию или маркетинговый сайт. Видимая часть страницы может выглядеть легитимно, а скрытый или малозаметный фрагмент задаёт модели нужный формат ответа. После пересказа ChatGPT выводит нормальное резюме, но вместе с ним добавляет навязанный злоумышленником блок, похожий на уведомление аккаунта.
В демонстрации такой блок сообщал о добавлении нового устройства и предлагал перейти по ссылке. Для пользователя опасность в том, что ссылка появляется уже внутри ответа ChatGPT и визуально может восприниматься как часть сообщения помощника, а не как элемент, пришедший со сторонней страницы.
Отдельный вариант атаки использует Markdown-изображения. Если в ответ попадает QR-код с контролируемого злоумышленником сервера, интерфейс может автоматически загрузить и показать картинку. При сканировании жертва переходит на внешний сайт с телефона, минуя привычные защитные механизмы рабочего браузера, включая предпросмотр ссылки при наведении и проверку домена менеджером паролей.
Ещё один сценарий связан с пассивной слежкой. При загрузке удалённого изображения сервер атакующего может получить IP-адрес, User-Agent, Referer, если заголовок передаётся, и точное время обращения. Таких данных достаточно, чтобы понять, что конкретная цель открыла страницу и попросила ChatGPT её пересказать.
Ахмети сообщил, что передал материалы в OpenAI через Bugcrowd в конце апреля 2026 года. По первой заявке проблему не удалось воспроизвести, повторную сочли неприменимой, а затем связали с ранее известной проблемой. 29 мая автор опубликовал исследование, чтобы показать более широкий риск: фишинг , QR-переходы и отслеживание могут приходить не из письма, а из обычной страницы, пересказанной ИИ-сервисом.
- Источник новости
- www.securitylab.ru
