Vulnerabilidade ChatGPhish transforma resumos do ChatGPT em vetor de phishing
Aprofundamento CEVIU
Aprofundamento
A ChatGPhish não é uma falha no modelo de linguagem em si, mas na camada de renderização de respostas do ChatGPT, especificamente no modo como ele processa e exibe Markdown de páginas web resumidas. Quando o assistente interpreta um link ou imagem em Markdown como parte do conteúdo a ser exibido, ele carrega ativamente recursos externos (como imagens hospedadas em S3 ou scripts embutidos em URLs), sem validação de origem ou sandboxing. Isso permite que atacantes injetem código oculto em páginas falsas, que só se manifesta quando o usuário pede um resumo: o resultado final mostra QR codes maliciosos, alertas falsos de segurança com links clicáveis e pixels de rastreamento que expõem IP e User-Agent da vítima, tudo dentro da interface confiável do ChatGPT.
O ataque explora uma lacuna crítica no OWASP Top 10 para LLMs 2025: 'Injeção de Prompt Indireta' (XPIA). Diferente de prompt injection direta, aqui o modelo não executa comandos por engano, ele simplesmente renderiza fielmente conteúdo malicioso vindo de fora, como se fosse neutro. A OpenAI não corrigiu a falha até 1º de junho de 2026, mesmo após reporte via Bugcrowd em 29 de abril. O status 'Não Reproduzível' seguido de 'duplicata' sugere que a equipe técnica não reconheceu o vetor como novo, embora ele amplie significativamente o alcance dos ataques anteriores baseados em Markdown.
O que mudou
Antes, em 2 de junho, a CEVIU havia relatado que o ChatGPT interpretava instruções em Markdown de páginas web como comandos internos, um problema de execução ativa. Já a ChatGPhish, revelada em 29 de maio e publicada em 1º de junho, muda o cenário: agora não há necessidade de o modelo 'executar' nada. Basta que o usuário peça um resumo, e o assistente renderiza passivamente links, imagens e scripts externos, transformando a interface em um canal de exfiltração e phishing sem interação adicional. É uma evolução de superfície de ataque: de exploração ativa do modelo para exploração passiva da camada de apresentação.
Por que isso importa
Empresas que usam ChatGPT para análise rápida de documentos, relatórios ou páginas de fornecedores estão expostas a vazamentos silenciosos de metadados operacionais, IP interno, User-Agent de estações corporativas, até referers que revelam rotas internas acessadas. Um único resumo malicioso pode entregar um QR code que, ao ser escaneado por um celular, contorna firewalls e políticas de navegação corporativa. Isso desafia modelos tradicionais de defesa: filtros de URL bloqueiam links, mas não imagens com QR codes; sandboxes de navegador não protegem a renderização feita pelo próprio assistente. A falha também evidencia que a confiança implícita em interfaces de IA está se tornando um novo vetor de ataque de cadeia de suprimento digital.
Linha do tempo
Publicação sobre exfiltração de arquivos via Microsoft Copilot Cowork usando links do OneDrive
Revelação de prompt injection no ChatGPT que executa instruções em Markdown de páginas web
Campanha LLMShare usa compartilhamento de conversas do ChatGPT para distribuir malware
Divulgação pública da vulnerabilidade ChatGPhish, explorando renderização de resumos para phishing e exfiltração passiva
Perguntas frequentes
O ChatGPT foi hackeado? A OpenAI teve seus servidores comprometidos?
Não. A falha não afeta a infraestrutura da OpenAI nem o modelo de linguagem diretamente. Ela ocorre na forma como o ChatGPT renderiza conteúdo externo (links e imagens em Markdown) dentro da própria interface do usuário, ou seja, é um problema de confiança excessiva em conteúdo de terceiros, não de invasão.
Como saber se uma página web está preparada para explorar a ChatGPhish?
Não há sinal visível. Atacantes inserem código malicioso em páginas legítimas ou falsas usando Markdown discreto: URLs de imagens apontando para servidores controlados, blocos de código escondidos em comentários HTML ou QR codes gerados dinamicamente. O risco só se materializa quando o usuário pede um resumo dessa página no ChatGPT.
Existe mitigação imediata para empresas?
Sim. Bloquear requisições HTTP/HTTPS para domínios não autorizados vindas de ferramentas de IA corporativas (via proxy ou firewall) reduz o impacto. Também é eficaz desabilitar o recurso de resumo de páginas web no ChatGPT empresarial, ou restringir seu uso a domínios pré-aprovados. Treinar equipes a nunca resumir páginas de origem desconhecida é a primeira linha de defesa.
Essa vulnerabilidade tem CVE? A OpenAI já lançou um patch?
Não há CVE atribuído até 1º de junho de 2026. A OpenAI marcou o reporte como 'duplicata' e não confirmou correção pública. A Permiso divulgou os detalhes porque a falha permanece ativa e explorável em produção, o que significa que nenhuma atualização foi liberada até a data da notícia.
Fontes
- thehackernews.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 01 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
