Почему это опасно, если ответ показывает сам ИИ?

Потому что пользователь начинает доверять не странице-источнику, а интерфейсу ассистента. Если в ответ встроили вредоносную ссылку, картинку или QR-код, они выглядят как часть безопасного результата.

Можно ли считать такие ссылки безопасными, если они появились в доверенном чате?

Нет. Ссылка остается внешней, даже если ее отобразил ИИ. Перед переходом ее нужно проверить как любой подозрительный адрес.

ChatGPhish: фишинг через сводки ChatGPT

Q: Что важнее всего для компании?

Обучить сотрудников не полагаться на один инструмент и не использовать ИИ как единственный фильтр подозрительного контента. Дополнительная проверка ссылок и доменов должна оставаться обязательной.

ChatGPhish превращает сводки ChatGPT в площадку для фишинга

Исследователи показали, как сводка страницы в ChatGPT может подставить вредоносные ссылки, картинки и QR-коды прямо в ответ ассистента.

30 мая 2026 г. 4 мин чтения 37 просмотров 1 читает сейчас

ChatGPhish превращает сводки ChatGPT в площадку для фишинга

В офисе сотрудник открывает знакомую страницу, просит ChatGPT кратко пересказать ее содержание — и вместо безобидной выжимки видит в ответе живую ссылку, картинку и псевдоуведомление о проблеме с доступом. На экране все выглядит как часть доверенного интерфейса, хотя источник давно подменили.

Именно на этом эффекте и построен прием, который исследователи Permiso Security назвали ChatGPhish. Уязвимость использует доверие ChatGPT к Markdown-ссылкам и изображениям из страницы, которую ассистент только что разобрал.

История инцидента

По описанию исследователей, ChatGPT при выводе ответа слишком доверяет разметке Markdown, если она пришла со сторонней страницы, которую он суммировал. Вредоносный сайт может подложить в текст ссылки, изображения или даже QR-код, а интерфейс ассистента покажет их как обычные кликабельные элементы.

Если страница содержит скрытый полезной для атакующего фрагмент, модель может подхватить его в ходе суммаризации и затем отобразить результат так, будто ему можно доверять. В одном из сценариев встроенные изображения автоматически подгружаются, а сервер атакующего получает IP-адрес, User-Agent и Referer пользователя.

Еще опаснее то, что в ответе могут появиться поддельные системные предупреждения, а QR-код из чужого хранилища способен увести жертву на мобильное устройство — мимо обычных фильтров корпоративного браузера. Это делает страницу источником фишинга прямо внутри интерфейса ИИ.

Что пошло не так в защите

Проблема не в самой суммаризации, а в цепочке доверия. Ассистент берет внешний материал, обрабатывает его и затем показывает результат внутри своего интерфейса как часть «своего» ответа. Для пользователя это выглядит безопаснее, чем случайный сайт в браузере.

Но именно здесь и ломается модель защиты. Если страница умеет навязать свои инструкции или вставить опасную разметку, доверенная оболочка ИИ превращается в точку доставки атаки. По сути, злоумышленник использует репутацию ассистента как прикрытие для фишингового контента.

Сходную логику мы уже видели в атаках на генеративные сервисы: вредоносный текст прячут в обычный контент, а затем заставляют систему воспроизвести его в выгодном для атакующего виде. В похожем ключе работают и фальшивые страницы сбоев в ChatGPT ведут на загрузку малвари — там жертву ловят на доверии к знакомому бренду, здесь — на доверии к ответу ассистента.

Отдельный риск для компаний состоит в том, что сотрудник может попросить ИИ пересказать страницу с подозрительным содержимым во время обычной работы. В этот момент полезная аналитика превращается в канал доставки обмана, а не в защитный инструмент.

Уроки для читателя

Главный вывод простой: ответ ИИ нельзя считать автоматически безопасным только потому, что он показан в привычном интерфейсе. Если сервис пересказывает чужую страницу, он не становится фильтром истины — он лишь промежуточное звено.

Для обычного пользователя это означает осторожность с кликабельными элементами в ответах ассистента. Ссылку, картинку или QR-код надо воспринимать как внешний объект, даже если они выглядят «официально» и появились внутри окна чата.

Для компаний вывод еще жестче. Команду нужно учить не подставлять в ИИ любые страницы подряд и не использовать его как единственный фильтр подозрительного контента. Дополнительная проверка ссылок, доменов и вложений остается обязательной.

Если вам нужен сервис для работы вне домашней сети и на выездах, имеет смысл держать под рукой инструмент для защищенной передачи трафика на личных устройствах — как часть общей гигиены, а не как волшебную кнопку. Но и он не отменяет базовую осторожность: фишинг часто приходит не через канал связи, а через доверие к содержимому.

Практические выводы и чек-лист

Не кликайте по ссылкам из ответа ИИ, если они появились после суммаризации внешней страницы.
Проверяйте домен вручную, прежде чем вводить пароль или код подтверждения.
Не сканируйте QR-коды, если их показал чат-ассистент и вы не ждете такого действия.
Отключайте автоматическое открытие картинок и внешних элементов там, где это возможно.
Просите ИИ пересказать только те материалы, которым вы уже доверяете.
Если вы отвечаете за безопасность в компании, добавьте в обучение пример с ChatGPhish и похожими атаками.
Сверяйте подозрительные страницы с другими источниками, а не с одним ответом ассистента.
Для общего чтения по теме посмотрите также как хакеры подменяют доверие к сервисам — логика атак часто важнее конкретного бренда.