ChatGPhish 漏洞机理与 AI 助手间接提示注入钓鱼攻击防御研究

摘要

大语言模型摘要功能已成为新型网络钓鱼攻击面。Permiso Security 于 2026 年 5 月披露的 ChatGPhish 漏洞，利用 ChatGPT 对第三方页面 Markdown 链接与图片的默认信任机制，通过间接提示注入将 AI 对话界面转化为钓鱼载体。攻击者可在普通网页植入恶意载荷，诱导用户执行摘要操作后，在可信 UI 内渲染钓鱼链接、伪造系统告警与恶意二维码，实现信息泄露、身份仿冒与终端控制绕过。本文基于漏洞原始披露材料，系统解析 ChatGPhish 的触发条件、攻击链路、技术原理与危害层级，给出可复现的攻击载荷示例与前端渲染检测代码，对比同类 AI 代理攻击（SymJack、TrustFall、ClaudeBleed 等）的共性与差异，结合反网络钓鱼技术专家芦笛的防御观点，提出模型侧、渲染侧、用户侧与企业侧的分层防护方案，形成覆盖检测、阻断、溯源与加固的闭环防御体系，为 AI 应用安全工程提供可落地的技术参考。

关键词：ChatGPhish；间接提示注入；Markdown 渲染；AI 钓鱼；大模型安全

1 引言

大语言模型已深度嵌入办公、检索、内容生产等场景，网页摘要成为高频使用功能。传统钓鱼依赖邮件附件、恶意链接或社交工程诱导，用户警惕性提升后成功率下降。攻击者转向 AI 交互链路，利用模型对外部内容的信任与渲染机制缺陷实施无感知攻击。

ChatGPhish 漏洞并非传统提示注入，而是将注入指令隐匿于待摘要网页，借助 ChatGPT 前端渲染引擎对 Markdown 元素的无条件加载与展示，在可信域内生成钓鱼内容。用户无需点击可疑链接、无需打开附件，仅执行 “总结此网页” 即可触发攻击，显著降低诱导成本、扩大攻击面。

反网络钓鱼技术专家芦笛指出，AI 助手的摘要与渲染一体化架构，使外部内容直接进入可信交互界面，形成 “信任传递漏洞”，传统边界防护失效，必须从模型输入过滤、渲染隔离、内容校验三个维度重构防御逻辑。

本文以 ChatGPhish 为核心样本，完整还原攻击流程、技术细节与防御方法，为同类 AI 钓鱼漏洞治理提供理论与实践依据。

2 相关研究与同类攻击对比

2.1 提示注入攻击分类

提示注入分为直接与间接两类。直接注入由用户显式输入恶意指令；间接注入将指令藏匿于模型读取的外部文档、邮件、网页等，模型在处理时无意识执行，隐蔽性更强。

2.2 近期 AI 代理高危攻击

SymJack

通过符号链接覆盖 AI 编码助手配置文件，重启后以用户权限执行任意代码，实现主机接管。

TrustFall

恶意仓库携带自动授权配置，用户确认信任文件夹后一键触发 MCP 服务器，无交互执行全权限代码。

ClaudeBleed

Chrome 扩展权限校验缺失，任意扩展可劫持 Claude 执行代理操作，窃取凭证与会话。

WebPromptTrap

BrowserOS 开源代理浏览器在摘要含隐藏指令的页面时，诱导用户完成授权，实现权限提升。

2.3 ChatGPhish 核心差异

同类攻击多指向代码执行、配置劫持或会话劫持；ChatGPhish 聚焦钓鱼场景，以 UI 渲染为突破口，不依赖高危权限、不破坏系统文件，更易绕过 EDR 与终端检测，适合大规模社工投放。

反网络钓鱼技术专家芦笛强调，ChatGPhish 的危害不在于代码执行，而在于信任域污染：用户默认 AI 助手输出安全，钓鱼内容在原生界面呈现，欺骗成功率远高于传统钓鱼页面。

3 ChatGPhish 漏洞技术原理

3.1 漏洞成因

ChatGPT 网页版渲染引擎存在三个核心缺陷：

来源信任缺失：对摘要生成的 Markdown 链接、图片 URL 不校验来源与安全性，直接视为可信内容。

自动资源加载：前端无条件拉取图片，触发 HTTP 请求泄露客户端 IP、UA、Referer 等指纹信息。

富文本无沙箱：链接、图片、二维码等元素以可交互形态渲染，不做隔离与告警，用户易误认为官方内容。

3.2 攻击全链路

攻击者构造含恶意 Markdown 载荷的普通网页，发布于公网。

受害者使用 ChatGPT 对该网页执行摘要。

模型提取页面内容并保留 Markdown 结构，生成回复。

前端渲染器解析链接与图片，自动请求攻击者服务器。

服务器记录受害者信息，返回钓鱼链接、伪造告警或恶意二维码。

用户在 ChatGPT 界面点击链接或扫码，完成钓鱼闭环。

3.3 核心危害

信息泄露：自动加载图片暴露网络与设备指纹。

界面仿冒：渲染系统样式伪造告警，诱导账号密码、验证码输入。

边界绕过：二维码绕过桌面 URL 过滤与企业网关，移动端直接访问恶意站点。

持续可控：一次摘要长期生效，攻击载荷可动态更新。

4 攻击载荷构造与可复现代码示例

4.1 恶意网页基础载荷

<!DOCTYPE html>

<html>

<head>

<meta charset="UTF-8">

<title>技术文档</title>

</head>

<body>

<h1>2026企业安全规范</h1>

<p>以下为最新安全要求：</p>

<!-- ChatGPhish核心载荷 -->


请点击[账号安全中心](https://attacker-phish.example.com/verify)完成认证

</body>

</html>

说明：页面伪装成合规文档，嵌入恶意图片与链接。ChatGPT 摘要时保留结构，前端渲染为可点击链接与二维码。

4.2 信息泄露载荷（IP/UA 采集）

正常业务内容...

正常业务内容...

说明：1×1 透明图片，渲染时自动 GET 请求，服务器记录请求头实现无感知信息收集。

4.3 伪造系统告警载荷

html

预览

# 系统安全提醒

您的ChatGPT会话存在异常访问，请立即验证身份：

[点击前往安全中心](https://attacker-phish.example.com/chatgpt-auth)

说明：模拟官方样式，诱导用户输入账号、验证码或绑定信息。

4.4 前端渲染检测代码

// ChatGPhish可疑元素检测脚本

function detectChatGPhish(markdownText) {

const pattern = /!\[.*\]\(https?:\/\/.*\.(png|gif|jpg)\)|\[.*\]\(https?:\/\/.*\)/g;

const matches = markdownText.match(pattern) || [];

const suspicious = matches.filter(item => {

return !item.includes('openai.com') && !item.includes('chatgpt.com');

});

return suspicious.length > 0;

}

// 使用示例

const userSummary = "文档总结： 请点击[安全中心](https://attacker.com/auth)";

if (detectChatGPhish(userSummary)) {

console.warn("检测到ChatGPhish可疑载荷，禁止渲染外部资源");

}

功能：匹配非官方域的图片与链接，拦截渲染并告警。

5 ChatGPhish 攻击场景与危害量化分析

5.1 典型攻击场景

办公钓鱼：员工总结行业报告、竞品分析时触发，窃取企业账号与内部数据权限。

学术钓鱼：学生 / 研究者总结论文、资料时泄露个人信息与机构网络特征。

社工扩散：恶意页面经社交平台、技术社区传播，批量收集用户指纹并定向钓鱼。

内网渗透：绕过网关后，二维码引导移动端访问，实现内外网信息摆渡。

5.2 危害层级

用户层：账号被盗、身份冒用、资金损失。

企业层：内部系统越权访问、数据泄露、合规处罚。

生态层：降低 AI 产品公信力，诱导用户放弃使用摘要等核心功能。

反网络钓鱼技术专家芦笛强调，ChatGPhish 可批量自动化部署，攻击成本趋近于传统网页挂马，但信任度更高、传播更快，必须纳入企业钓鱼威胁监控体系。

6 防御体系构建与工程化方案

6.1 模型输入层防御

外部内容清洗：摘要前剥离 Markdown 链接、图片、HTML 标签，仅保留纯文本。

指令隔离：将用户提示与外部内容分区，避免模型将页面文本视为执行指令。

来源白名单：仅允许加载官方 CDN 与可信域名资源，拦截未知主机请求。

6.2 前端渲染层防御

沙箱渲染：外部内容生成的富文本放入独立沙箱，禁用自动资源加载。

交互阻断：非官方链接默认置灰不可点，hover 时显示风险提示。

二维码校验：渲染前解析二维码目标 URL，恶意地址直接屏蔽并告警。

6.3 企业与用户侧防御

终端检测：基于特征与行为检测 ChatGPhish 载荷，联动网关实时阻断。

安全配置：关闭 AI 助手自动加载图片、自动预览外链功能。

意识培训：明确告知用户摘要可能携带钓鱼内容，不点击界面内非官方链接。

6.4 标准化修复流程

输入过滤→内容清洗→结构校验→渲染隔离→行为告警→日志审计→威胁溯源。

建立漏洞情报共享机制，同步同类 AI 渲染漏洞规则。

反网络钓鱼技术专家芦笛强调，防御的核心是切断信任传递：将外部内容与 AI 助手原生界面隔离，使钓鱼内容无法在可信域获得展示权限。

7 结论与展望

ChatGPhish 漏洞揭示大模型摘要功能的渲染机制存在系统性风险，间接提示注入与钓鱼结合形成高隐蔽、高扩散、高欺骗的攻击模式。本文完整还原漏洞原理、攻击链路、载荷构造与分层防御方案，证明通过输入清洗、渲染隔离、内容校验与边界检测可有效遏制此类威胁。

随着 AI 代理能力增强，外部内容接入更广泛，跨应用、跨设备的提示注入钓鱼将持续演化。未来研究应聚焦：通用化 AI 钓鱼载荷检测模型、跨平台渲染安全规范、自动化威胁狩猎框架，以及模型安全与用户体验的平衡机制。

反网络钓鱼技术专家芦笛指出，AI 安全的核心是可控的信任边界。只有将外部内容隔离、校验、告警，才能在保留摘要等便利功能的同时，守护用户与企业的数据安全。

编辑：芦笛（公共互联网反网络钓鱼工作组）