ChatGPT要約機能の脆弱性「ChatGPhish」がフィッシング攻撃に悪用される恐れ

概要

セキュリティ企業Permiso Securityが、OpenAIのChatGPTに存在する脆弱性「ChatGPhish」を発表しました。この脆弱性は、ChatGPTがマークダウン形式のリンクと画像URLを信頼して自動的に処理する特性を悪用したものです。攻撃者は悪意あるウェブページにペイロード（悪質なコード）を埋め込み、ユーザーがChatGPTにそのページを要約させると、攻撃者のサーバーから画像が自動取得され、ユーザーのIP・ユーザーエージェント・参照情報が漏洩します。さらに、フィッシングリンクや偽のセキュリティアラート、QRコードがChatGPTの信頼できるUI内に表示され、ユーザーをだまして悪意あるサイトへ誘導することが可能です。組織内でChatGPTが調査・要約に使用される場合、任意のウェブページがフィッシング面に変身するリスクが生まれます。

元記事（The Hacker News）