ChatGPhish pokazuje kako se ChatGPT sažetak može pretvoriti u phishing put
AI sažetak može postati phishing površina kada su linkovi i slike prikazani bez dovoljno konteksta.📷 AI-generated image / TECH&SPACE
- ★ChatGPhish cilja prikaz ChatGPT web odgovora, posebno Markdown linkove i slike.
- ★Permiso Security povezuje tehniku s prompt injectionom i phishing rizikom.
- ★Slučaj pokazuje da AI sigurnost mora uključiti renderer, izvore i korisničko sučelje.
To je važan pomak u razmišljanju o AI riziku. Kod klasičnog prompt injectiona fokus je često na tome što model čita i kako instrukcije iz nepouzdanog sadržaja mogu promijeniti njegov odgovor. ChatGPhish, prema dostupnom opisu, gura problem bliže korisniku: ako se zlonamjeran sadržaj prikaže kao uvjerljiv link, slika ili dio uredno formatiranog odgovora, napad više ne ovisi samo o tome hoće li model nešto pogrešno zaključiti. Ovisi i o tome hoće li sučelje korisniku servirati dovoljno vjerodostojan put prema pogrešnoj akciji.
Markdown je ovdje bitan zato što je dizajniran kao lagan način za strukturiranje teksta, linkova i slika. U normalnom webu to je korisno i očekivano; u AI asistentu koji sažima web sadržaj to postaje osjetljiv kanal. Ako sustav previše vjeruje formatiranju iz nepouzdanog izvora, korisnik može vidjeti uredno složen odgovor koji izgleda kao službeni sažetak, ali s elementima koji vode prema phishing scenariju. Osnovna lekcija nije da je Markdown problem sam po sebi, nego da renderer mora tretirati vanjske linkove, slike i instrukcije kao napadne površine.
Permiso Security opisuje ranjivost u rendereru odgovora na chatgpt.com, gdje povjerenje u Markdown linkove i slike može otvoriti prostor za prompt injection i krađu korisničkog povjerenja.
ChatGPhish cilja tanki sloj između Markdown formata, renderera i korisničkog klika.📷 AI-generated image / TECH&SPACE
Za OpenAI je ovaj tip nalaza posebno neugodan jer ChatGPT korisnici sve češće koriste kao posrednika prema webu: traže sažetke, objašnjenja, usporedbe i brze provjere izvora. Kada se povjerenje premjesti s web stranice na AI odgovor, i napadač traži isto mjesto. Ako korisnik vjeruje da je asistent već filtrirao šum, link unutar odgovora može dobiti veću težinu nego isti link na nepoznatoj stranici.
Iz dostupnog konteksta ne treba izvoditi šire tvrdnje koje nisu potvrđene: nema potrebe pretpostavljati broj pogođenih korisnika, trajanje ranjivosti ili konkretne kampanje. Dovoljno je ozbiljno da se ranjivost odnosi na spoj prompt injectiona, Markdown renderiranja i phishinga, jer taj spoj pogađa osnovnu operativnu pretpostavku AI alata: korisnik očekuje da formatirani odgovor nije samo čitljiv, nego i sigurnosno razuman.
Obrana zato ne smije biti samo modelskim upozorenjem tipa “ne klikajte sumnjive linkove”. Potrebni su stroži sanitarni slojevi oko renderiranja, jasnije označavanje vanjskih odredišta, ograničenja za slike i linkove iz nepouzdanih sažetaka te sigurnosna pravila koja prepoznaju da AI odgovor nije običan tekstualni log. ChatGPhish pokazuje da se granica između sadržaja, sučelja i akcije u AI proizvodima opasno stanjila. Tko gradi asistente, mora ih testirati kao web aplikacije, kao sustave za obradu nepouzdanog sadržaja i kao društveno-tehničke površine na kojima korisnik donosi odluku u sekundi.
