ChatGPhish и волна атак на AI-ассистентов: как суммаризация стала вектором фишинга

Исследователи из Permiso Security раскрыли технику атаки на ChatGPT под названием ChatGPhish, которая превращает рутинную суммаризацию веб-страниц в вектор фишинга. По данным исследователей, рендерер ответов chatgpt.com доверяет Markdown-ссылкам и URL изображений, полученным со сторонних страниц, автоматически загружает такие изображения и отображает ссылки как кликабельные элементы внутри доверенного интерфейса ассистента. Публикация совпала с серией аналогичных находок от других команд, затрагивающих AI-кодинг-агенты, браузерные расширения и фреймворки для AI-приложений — включая подтверждённые Microsoft уязвимости CVE-2026-25592 и CVE-2026-26030 в Semantic Kernel. Ни для одной из описанных проблем не зафиксирована эксплуатация в реальных атаках, однако публичные PoC-демонстрации доступны.

Как работает ChatGPhish

Суть техники, описанной исследователем Andi Ahmeti из Permiso, заключается в злоупотреблении механизмом рендеринга Markdown в ответах ChatGPT. Атакующий размещает на произвольной веб-странице небольшую полезную нагрузку — скрытые инструкции в формате Markdown. Когда жертва просит ChatGPT суммаризировать эту страницу, происходит следующее:

• Утечка метаданных: изображения с сервера атакующего автоматически загружаются при рендеринге ответа, что, по данным исследователей, раскрывает IP-адрес, User-Agent и заголовок Referer жертвы.
• Фишинговые ссылки: вредоносные Markdown-ссылки отображаются как активные кликабельные элементы внутри интерфейса ассистента.
• Поддельные системные предупреждения: в ответе могут появляться фальшивые уведомления безопасности и QR-коды, размещённые, например, в S3-бакете атакующего.

Ключевая особенность ChatGPhish — не сама инъекция промпта, а то, что инструкции, встроенные в обычную веб-страницу, исполняются и визуально представляются пользователю как часть легитимного ответа доверенного AI-интерфейса. Как отмечает Permiso, переход вектора атаки от электронной почты к браузеру существенно расширяет поверхность атаки: пользователю не нужно открывать вложение или взаимодействовать с подозрительным сообщением — достаточно попросить ChatGPT суммаризировать страницу.

Важно: на момент публикации OpenAI не выпустила официального бюллетеня безопасности по данной проблеме. Технические детали основаны исключительно на исследовании Permiso.

Атаки на AI-кодинг-агенты: SymJack и TrustFall

Параллельно команда Adversa AI задокументировала две техники — SymJack и TrustFall — нацеленные на AI-кодинг-ассистенты и агентные CLI-инструменты.

SymJack эксплуатирует символические ссылки: вредоносный репозиторий обманом заставляет агента скопировать безобидный на вид файл, но целевой путь указывает через symlink на конфигурацию самого агента. После перезапуска, по данным исследователей, запускается вредоносный MCP-сервер с полными привилегиями пользователя.

TrustFall, как сообщает Adversa AI, реализует удалённое выполнение кода в один клик: репозиторий содержит конфигурацию, которая автоматически одобряет и запускает MCP-сервер без явного согласия пользователя. Достаточно клонировать репозиторий и нажать «Yes, I trust this folder» в диалоге доверия — и код атакующего выполняется с полными системными привилегиями разработчика.

Более широкий контекст: уязвимости AI-экосистемы

Описанные техники — часть масштабной волны исследований безопасности AI-систем. Наиболее значимые из подтверждённых находок:

• CVE-2026-25592 и CVE-2026-26030 в Microsoft Semantic Kernel — уязвимости, позволяющие, согласно бюллетеню Microsoft, превратить инъекцию промпта в удалённое выполнение кода на уровне хоста.
• Типографические инъекции промптов — исследование Cisco показало, что текст, отрендеренный как изображение, может обходить фильтры безопасности в мультимодальных языковых моделях. При этом изображения выглядят как шум для OCR-фильтров, но несут полностью читаемые инструкции для целевой модели.
• Многоходовые атаки на LLM — Cisco подчёркивает, что защитные механизмы LLM можно обойти через многоходовые диалоги, тогда как стандартные бенчмарки тестируют только одиночные запросы.
• ClaudeBleed — по данным LayerX, уязвимость в браузерном расширении Claude позволяла любому расширению без специальных разрешений перехватывать управление AI-ассистентом из-за отсутствия проверки источника вызова.
• Экосистема агентных навыков — аудит Snyk выявил, что 13,4% из 3 984 проанализированных навыков на платформах ClawHub и skills.sh содержат хотя бы одну критическую проблему безопасности, включая распространение вредоносного ПО, инъекции промптов и утечку секретов.

Дополнительно Unit 42 (Palo Alto Networks) продемонстрировала PoC-агент Zealot, способный проводить полноценные атаки на облачную инфраструктуру с минимальным участием человека, выстраивая цепочки разведки, эксплуатации, повышения привилегий и эксфильтрации данных.

Оценка воздействия

Наибольшему риску подвержены организации, активно использующие ChatGPT и аналогичные AI-ассистенты для исследовательских задач и суммаризации контента. В случае ChatGPhish любая веб-страница, которую сотрудник попросит AI обработать, потенциально может содержать полезную нагрузку, превращающую интерфейс ассистента в фишинговую платформу. Для разработчиков, использующих AI-кодинг-агенты, риск SymJack и TrustFall означает, что клонирование непроверенного репозитория может привести к полной компрометации рабочей станции.

Особую опасность представляет фактор доверия: пользователи воспринимают ответы AI-ассистентов как надёжные, что снижает критичность восприятия фишинговых элементов, отображаемых внутри привычного интерфейса.

Практические рекомендации

1. Для пользователей ChatGPT: не переходите по ссылкам и не сканируйте QR-коды из суммаризированных ответов без проверки URL. Относитесь к любым «системным предупреждениям» в ответах AI с тем же скепсисом, что и к подозрительным письмам.
2. Для разработчиков: не клонируйте и не открывайте в AI-кодинг-инструментах репозитории из непроверенных источников. Проверяйте содержимое конфигурационных файлов MCP-серверов перед одобрением диалогов доверия.
3. Для администраторов Microsoft Semantic Kernel: примените патчи для CVE-2026-25592 и CVE-2026-26030 в приоритетном порядке.
4. Для SOC-команд: включите мониторинг исходящих запросов от AI-инструментов к внешним ресурсам. Рассмотрите ограничение автоматической загрузки изображений и рендеринга внешних ссылок в корпоративных AI-средах.
5. Для пользователей браузерных расширений Claude: обновите расширение и проведите аудит установленных расширений браузера — любое из них потенциально могло эксплуатировать ClaudeBleed.

Совокупность описанных исследований фиксирует системную проблему: границы доверия в AI-системах остаются размытыми, а модели обрабатывают контент из внешних источников без достаточной изоляции от пользовательского интерфейса. Приоритетное действие для организаций — провести инвентаризацию AI-инструментов, используемых сотрудниками, применить доступные патчи (в первую очередь для Semantic Kernel) и внедрить политики, ограничивающие автоматическое исполнение конфигураций из внешних репозиториев в средах разработки.