ChatGPhish：不可信 Markdown 让 ChatGPT 摘要变成钓鱼面

这是什么？

ChatGPhish 是 Permiso Security 于 2026 年 5 月 29 日披露的一种间接提示注入技术，出自威胁猎手 Andi Ahmeti 的报告《ChatGPhish: The Page Is the Payload》。该发现最早于 2026 年 4 月 29 日通过 Bugcrowd 提交给 OpenAI，标题为《Untrusted Markdown Rendering Leads to XSS, Phishing, and Data Exfiltration》，在厂商一个月未修复后公开。

核心问题在于 ChatGPT 渲染自身回答时的信任边界失效。当用户要求助手摘要某个第三方网页时，chatgpt.com 的响应渲染器会信任那些源自该不可信网页的 Markdown 链接与图片 URL。它自动抓取图片，并把链接以可点击的实时元素形式呈现在可信助手界面内。用户读到的摘要不再是纯粹由模型生成的文本，而可能携带攻击者植入的内容。

工作原理

攻击者无需获取受害者账户访问权限，也无需浏览器漏洞，只需要一个自己掌控的网页，以及一个让 ChatGPT 去摘要它的受害者。在一个原本普通的页面上附加一小段载荷，便会经由摘要进入被渲染的回答。

在此基础上，Permiso 演示了四种原语，全部建立在渲染器自动信任摘要页面所产生的 Markdown 之上：

• 追踪像素。 嵌入页面、由攻击者托管的图片会在回答渲染时被自动抓取，向攻击者服务器泄露受害者的 IP 地址、User-Agent 与 Referer——每次渲染都是一次无声信标。
• 可点击的钓鱼链接。 攻击者控制的 Markdown 链接被呈现为与模型输出无从区分的可点击元素，继承了助手界面的可信度。
• 伪造系统警报。 注入内容可模仿 ChatGPT 自身样式，显示伪造的账户或安全警告，把用户引向凭据收集页面。
• 二维码转移。 从攻击者存储桶提供的二维码被内联渲染；扫描它会把受害者引到移动设备，从而绕过桌面端 URL 过滤与企业管控。

这属于 OWASP LLM01 提示注入，但值得注意之处不在注入本身，而在于页面中嵌入的指令被遵循并作为摘要的一部分呈现给用户。Permiso 将其描述为从邮件到浏览器的转移：用户不再需要打开可疑附件，只需在正常浏览中摘要一个页面。这与 Permiso 早前（2026 年 3 月）关于通过 Microsoft Copilot 邮件摘要发起的类似交叉注入（XPIA）的研究相呼应。

为何重要

摘要是最常用、最受信任的助手功能之一，组织正越来越多地把检索与初筛交由它处理。ChatGPhish 把这一习惯变成了攻击面：员工要求处理的任何页面都可能携带载荷，而输出落在用户已被训练去信任的界面里。数据外泄原语是被动的，完全不需要点击；而钓鱼与二维码原语则利用助手被感知的权威性来降低受害者的戒心。同样的模式可推广到任何会从摘要后的不可信内容渲染富文本 Markdown 的 LLM 产品。

这不是远程代码执行漏洞，且需要用户自己发起对受攻击者影响内容的摘要，这限制了其波及范围。应将其视为一种高频、低摩擦的钓鱼与追踪向量，而非系统级入侵漏洞。

防御

面向构建或部署 LLM 摘要的团队：

• 不要自动抓取远程图片，尤其当模型输出源自不可信内容时。延迟或代理图片加载，使渲染不至于变成追踪信标，并剥离请求元数据。
• 中和来自摘要内容的链接。 将攻击者衍生的 URL 渲染为惰性文本、显示完整目标地址，或为其加上明确提示——该链接来自页面，而非助手。
• 将模型外壳与内容分离。 绝不让摘要文本复刻产品自身的警报或系统样式；把可信的界面元素保留给第一方消息。
• 践行致命三要素原则。 在这里，不可信输入加上一条触达用户的渲染通道就足以造成危害；务必阻止摘要内容驱动特权界面或对外请求。
• 面向用户： 把对未知页面的 AI 摘要等同于页面本身——不要点击链接、不要扫描二维码，也不要对摘要内部出现的安全警报采取行动。

状态

项目	详情
披露方	Permiso Security（Andi Ahmeti）
报告给 OpenAI	2026 年 4 月 29 日（Bugcrowd）
公开披露	2026 年 5 月 29 日
类别	间接 / 交叉提示注入（OWASP LLM01）
影响	数据外泄、钓鱼、伪造警报、二维码转移
披露时厂商修复	未见报告

ChatGPhish 是一项有据可查、负责任披露的技术，而非载荷库。其教训超越具体产品：当助手渲染源自不可信页面的富内容时，渲染层本身就是攻击面的一部分，必须当作敌意输出来对待。