ChatGPhish: Nova Vulnerabilidade Permite Ataques de Phishing Usando o ChatGPT
Pesquisadores descobriram uma vulnerabilidade chamada ChatGPhish que permite a criminosos injetar links de phishing, alertas de segurança falsos e QR codes maliciosos nas respostas do ChatGPT. A falha explora a confiança do ChatGPT na formatação Markdown de fontes externas, transformando páginas web em vetores de ataque.
MundiX News·01 de junho de 2026·3 min de leitura·👁 20 views
Recomendamos a leitura de:
Hacker #325. Espionagem
Conteúdo da edição
Assinatura de "Hacker"
-60%
Pesquisadores demonstraram que invasores podem inserir links de phishing, falsos alertas de segurança e até mesmo QR codes nas respostas do ChatGPT. Para realizar o ataque, basta colocar um payload especial em uma página web e, em seguida, induzir o usuário a interagir com a IA, pedindo que ela resuma o conteúdo da página.
Os detalhes do problema, denominado ChatGPhish, foram revelados pelo especialista da Permiso Security, Andi Ahmeti. A vulnerabilidade está relacionada à confiança do ChatGPT na formatação Markdown recebida de fontes externas ao resumir páginas. Como resultado, links e imagens incorporados pelo invasor no site podem ser exibidos dentro da resposta da IA como elementos legítimos da interface.
De acordo com o pesquisador, chatgpt.com carrega automaticamente as imagens referenciadas pela formatação Markdown e torna os links clicáveis. Isso abre vários cenários de abuso. Por exemplo, ao exibir a resposta, o navegador pode automaticamente se conectar ao servidor do invasor, revelando o endereço IP do usuário, User-Agent e outros dados.
Pior ainda, o invasor pode fazer com que o ChatGPT exiba uma notificação falsa no estilo da marca do serviço. Assim, na demonstração de Ahmeti, após um resumo normal da página, apareceu uma mensagem informando que uma nova sessão havia sido iniciada na conta, com um link "para verificação" ao lado. Externamente, parecia um alerta de segurança padrão da OpenAI, mas levava a um domínio controlado pelos invasores.
Da mesma forma, um QR code pode ser embutido na resposta da IA. Se o usuário digitalizá-lo, ele será redirecionado para um recurso malicioso, e o endereço do site não será exibido abertamente.
O pesquisador enfatiza que o principal problema não é nem mesmo a injeção de prompt. Injeções de prompt indiretas em sistemas de IA são conhecidas há muito tempo. O perigo do problema ChatGPhish reside no fato de que as instruções da página web externa não apenas afetam a resposta do modelo, mas também são exibidas dentro da interface confiável do ChatGPT como parte do conteúdo legítimo.
A informação sobre a vulnerabilidade foi transmitida aos especialistas da OpenAI através do Bugcrowd em abril de 2026. Inicialmente, a OpenAI informou que não conseguiu reproduzir o comportamento descrito e, em seguida, marcou o relatório como duplicado. De acordo com o pesquisador, ele tentou esclarecer as diferenças entre sua descoberta e um ticket existente, mas não recebeu resposta. Como resultado, no momento da publicação das informações sobre ChatGPhish, a vulnerabilidade não foi corrigida.
Especialistas da Permiso acreditam que esses ataques apenas destacam o problema dos sistemas de IA modernos. Se antes os invasores precisavam convencer a vítima a abrir um anexo malicioso ou clicar em um link, agora basta induzir a pessoa a interagir com a IA para que ela resuma o conteúdo de uma página especialmente preparada. Essencialmente, uma página web comum se transforma em um portador de payload, e o assistente de IA se torna um participante no ataque de phishing.
"Não confie nas respostas do modelo", adverte Ahmeti. "Qualquer conteúdo gerado por IA deve ser considerado potencialmente não confiável. É preciso partir do princípio de que as injeções de prompt são inevitáveis".
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Recomendamos a leitura de:
Hacker #325. Espionagem
Conteúdo da edição
Assinatura de "Hacker"
-60%
Pesquisadores demonstraram que invasores podem inserir links de phishing, falsos alertas de segurança e até mesmo QR codes nas respostas do ChatGPT. Para realizar o ataque, basta colocar um payload especial em uma página web e, em seguida, induzir o usuário a interagir com a IA, pedindo que ela resuma o conteúdo da página.
Os detalhes do problema, denominado ChatGPhish, foram revelados pelo especialista da Permiso Security, Andi Ahmeti. A vulnerabilidade está relacionada à confiança do ChatGPT na formatação Markdown recebida de fontes externas ao resumir páginas. Como resultado, links e imagens incorporados pelo invasor no site podem ser exibidos dentro da resposta da IA como elementos legítimos da interface.
De acordo com o pesquisador, chatgpt.com carrega automaticamente as imagens referenciadas pela formatação Markdown e torna os links clicáveis. Isso abre vários cenários de abuso. Por exemplo, ao exibir a resposta, o navegador pode automaticamente se conectar ao servidor do invasor, revelando o endereço IP do usuário, User-Agent e outros dados.
Pior ainda, o invasor pode fazer com que o ChatGPT exiba uma notificação falsa no estilo da marca do serviço. Assim, na demonstração de Ahmeti, após um resumo normal da página, apareceu uma mensagem informando que uma nova sessão havia sido iniciada na conta, com um link "para verificação" ao lado. Externamente, parecia um alerta de segurança padrão da OpenAI, mas levava a um domínio controlado pelos invasores.
Da mesma forma, um QR code pode ser embutido na resposta da IA. Se o usuário digitalizá-lo, ele será redirecionado para um recurso malicioso, e o endereço do site não será exibido abertamente.
O pesquisador enfatiza que o principal problema não é nem mesmo a injeção de prompt. Injeções de prompt indiretas em sistemas de IA são conhecidas há muito tempo. O perigo do problema ChatGPhish reside no fato de que as instruções da página web externa não apenas afetam a resposta do modelo, mas também são exibidas dentro da interface confiável do ChatGPT como parte do conteúdo legítimo.
A informação sobre a vulnerabilidade foi transmitida aos especialistas da OpenAI através do Bugcrowd em abril de 2026. Inicialmente, a OpenAI informou que não conseguiu reproduzir o comportamento descrito e, em seguida, marcou o relatório como duplicado. De acordo com o pesquisador, ele tentou esclarecer as diferenças entre sua descoberta e um ticket existente, mas não recebeu resposta. Como resultado, no momento da publicação das informações sobre ChatGPhish, a vulnerabilidade não foi corrigida.
Especialistas da Permiso acreditam que esses ataques apenas destacam o problema dos sistemas de IA modernos. Se antes os invasores precisavam convencer a vítima a abrir um anexo malicioso ou clicar em um link, agora basta induzir a pessoa a interagir com a IA para que ela resuma o conteúdo de uma página especialmente preparada. Essencialmente, uma página web comum se transforma em um portador de payload, e o assistente de IA se torna um participante no ataque de phishing.
"Não confie nas respostas do modelo", adverte Ahmeti. "Qualquer conteúdo gerado por IA deve ser considerado potencialmente não confiável. É preciso partir do princípio de que as injeções de prompt são inevitáveis".
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
