ChatGPhish: Kỹ thuật mới biến tính năng tóm tắt web của ChatGPT thành công cụ phishing

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
1.937 bài viết
ChatGPhish: Kỹ thuật mới biến tính năng tóm tắt web của ChatGPT thành công cụ phishing
WhiteHat Team
Một kỹ thuật tấn công mới có tên ChatGPhish đang làm dấy lên lo ngại về mức độ an toàn của các tính năng AI tích hợp trình duyệt. Theo các nhà nghiên cứu tại Permiso, kẻ tấn công có thể lợi dụng khả năng đọc và tóm tắt nội dung web của ChatGPT để chèn liên kết lừa đảo, cảnh báo giả mạo và các cơ chế âm thầm thu thập dữ liệu người dùng ngay trong phản hồi của AI.
ChatGPhish.png

Nghiên cứu này được xây dựng dựa trên khái niệm Cross Prompt Injection Attack (XPIA), từng được chứng minh có thể ảnh hưởng đến các hệ thống AI như Microsoft Copilot thông qua nội dung email được thiết kế đặc biệt. Với ChatGPhish, phạm vi tấn công được mở rộng từ email sang toàn bộ môi trường web. Điều đó đồng nghĩa bất kỳ trang web nào mà người dùng yêu cầu ChatGPT phân tích hoặc tóm tắt đều có thể trở thành phương tiện phát tán nội dung độc hại nếu đã bị cài cắm các chỉ dẫn dành riêng cho mô hình AI.

Theo Permiso, kẻ tấn công chỉ cần bổ sung một đoạn văn bản ngắn chứa các chỉ thị đặc biệt vào một trang web công khai. Khi ChatGPT truy xuất và xử lý nội dung trang đó, mô hình có thể bị tác động để thay đổi cách trình bày kết quả tóm tắt. Thay vì chỉ hiển thị nội dung thông thường, phản hồi của ChatGPT có thể xuất hiện các liên kết do kẻ tấn công kiểm soát, các thông báo giả mạo mang phong cách giống cảnh báo bảo mật hoặc hình ảnh mã QR dẫn đến những địa chỉ nguy hiểm.
1780297152342.png

Điểm đáng lo ngại nằm ở việc các thành phần này được hiển thị trực tiếp trong giao diện ChatGPT. Đối với người dùng cuối, rất khó để phân biệt đâu là nội dung do AI tạo ra và đâu là dữ liệu được chèn từ nguồn bên ngoài. Sự nhầm lẫn này tạo ra hiệu ứng "chuyển giao lòng tin", khi người dùng có xu hướng tin tưởng những gì xuất hiện trong cửa sổ trò chuyện của AI hơn so với một trang web thông thường.

Permiso cho biết ChatGPhish có thể bị lạm dụng theo nhiều cách khác nhau:​
  • Phishing qua liên kết ngụy trang: Các liên kết do kẻ tấn công chèn vào nội dung nguồn có thể xuất hiện dưới dạng liên kết hợp lệ trong phản hồi của ChatGPT. Do thiếu thông tin về nguồn gốc, người dùng khó nhận biết đâu là liên kết do AI tạo ra và đâu là liên kết được cài cắm từ bên ngoài.​
  • Giả mạo cảnh báo bảo mật: Nội dung độc hại có thể được trình bày dưới dạng các thông báo như tài khoản bị xâm nhập, yêu cầu xác thực hoặc đăng nhập lại. Khi xuất hiện trong giao diện ChatGPT, những cảnh báo này dễ tạo cảm giác đáng tin cậy hơn so với các email hoặc trang web lừa đảo thông thường.​
  • Lạm dụng mã QR: Kẻ tấn công có thể nhúng mã QR vào nội dung được tóm tắt, dẫn người dùng sang thiết bị khác để truy cập các trang web độc hại. Cách tiếp cận này giúp vượt qua nhiều cơ chế cảnh báo URL vốn chỉ hoạt động trên trình duyệt máy tính.​
  • Theo dõi người dùng: Các hình ảnh hoặc tài nguyên bên ngoài được tải tự động trong quá trình hiển thị phản hồi có thể tiết lộ địa chỉ IP, thông tin trình duyệt, thời điểm truy cập và các dữ liệu kỹ thuật khác cho hạ tầng do kẻ tấn công kiểm soát.​
Permiso cho rằng ChatGPhish phản ánh chính xác rủi ro Prompt Injection mà OWASP LLM01:2025 đề cập. Khi AI vừa là công cụ đọc, vừa là công cụ diễn giải nội dung, các chỉ dẫn độc hại được cài cắm trong trang web có thể ảnh hưởng trực tiếp đến phản hồi mà người dùng nhận được. Điều này cũng khiến các cơ chế bảo vệ truyền thống của trình duyệt như Same-Origin Policy trở nên kém hiệu quả, bởi nội dung đã được AI xử lý và trình bày lại trong ngữ cảnh tin cậy của người dùng.
1780297173773.png

Nhóm nghiên cứu Permiso đã báo cáo phát hiện này cho OpenAI thông qua Bugcrowd từ cuối tháng 4/2026. Ban đầu, OpenAI cho biết chưa thể tái hiện vấn đề, nhưng sau khi nhận thêm bằng chứng khai thác, báo cáo được xác định là trùng với một trường hợp đã được ghi nhận trước đó. Nghiên cứu sau đó được công bố công khai vào ngày 29/5, làm rõ các kịch bản lạm dụng như phishing, theo dõi người dùng và chuyển hướng qua mã QR.

Trước nguy cơ từ ChatGPhish, người dùng cần thận trọng khi sử dụng tính năng tóm tắt AI trên các nguồn nội dung công khai như GitHub, blog hoặc diễn đàn. Doanh nghiệp cũng cần tăng cường giám sát dữ liệu đầu vào và đầu ra của các hệ thống AI, đồng thời yêu cầu xác minh nguồn gốc trước khi người dùng tương tác với các liên kết, hình ảnh hoặc cảnh báo xuất hiện trong phản hồi của mô hình.

Với ChatGPhish, kẻ tấn công không cần xâm nhập hệ thống hay phát tán mã độc để đạt được mục tiêu. Chỉ cần kiểm soát nội dung mà AI đọc được, chúng đã có cơ hội tác động đến những gì người dùng nhìn thấy và tin tưởng. Đây cũng là lý do prompt injection đang được xem là một trong những thách thức lớn nhất đối với các nền tảng AI hiện nay.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng cực kỳ nghiêm trọng trong ChromaDB cho phép chiếm quyền máy chủ AI
  • Lỗ hổng Copy Fail trong Linux tồn tại gần một thập kỷ: 4 byte cũng đủ chiếm quyền root
  • Luật Trí tuệ nhân tạo: Bước khởi đầu cho kỷ nguyên AI có trách nhiệm
  • Kỷ lục mới của DDoS: Botnet Aisuru tạo đỉnh tấn công 31,4 Tbps, vượt xa mọi tiền lệ
  • Mã QR photobooth và mặt tối bảo mật: Ảnh kỷ niệm hay dữ liệu công khai?
  • Phân tích kỹ thuật khai thác lỗ hổng React2Shell CVE-2025-55182
    • Thẻ
    chatgphish chatgpt cross prompt injection attack owasp llm01:2025 phishing prompt injection tóm tắt web bằng ai xpia
    Bên trên