La vulnerabilità chiamata ChatGPhish mostra come le funzioni di riepilogo web di ChatGPT possano diventare un nuovo vettore di phishing. Il problema nasce dal modo in cui l'interfaccia di chat rende i contenuti in Markdown provenienti da pagine di terze parti appena riassunte.
In pratica link e immagini inseriti nella pagina sorgente possono essere trasformati in elementi cliccabili e risorse caricate automaticamente dentro un ambiente percepito come affidabile, cioè la UI dell'assistente.
In uno scenario di attacco, un malintenzionato può aggiungere a una normale pagina web un payload minimo che include immagini ospitate su server controllati dall'attaccante e link in Markdown camuffati. Quando un utente chiede a ChatGPT di riassumere quella pagina, il renderer potrebbe effettuare il fetch automatico delle immagini. Questa semplice azione può esporre metadati utili al tracciamento come indirizzo IP, user agent e referer, informazioni che aiutano a profilare la vittima e a personalizzare ulteriori fasi di social engineering.
Il rischio più evidente riguarda però il phishing. Se i link malevoli vengono mostrati come link attivi nel testo del riassunto, l'utente può essere indotto a cliccarli con maggiore fiducia, perché appaiono all'interno della risposta di un assistente AI. La tecnica può anche presentare falsi avvisi di sicurezza in stile sistema o account alert, aumentando l'urgenza percepita e spingendo la vittima ad agire rapidamente. Un ulteriore trucco consiste nel far includere un QR code nel contenuto riassunto e servirlo da un bucket remoto. La scansione tramite smartphone può aggirare filtri URL sul desktop e controlli di sicurezza aziendali, rendendo più facile arrivare a pagine di raccolta credenziali o a flussi di autenticazione fraudolenti.
Questo caso evidenzia come la superficie di attacco si stia spostando dalla posta elettronica al browser e agli strumenti di produttività basati su AI. Non serve più aprire allegati o rispondere a messaggi sospetti. Basta riassumere una pagina durante la navigazione per introdurre istruzioni controllate dall'attaccante nel contesto e nel contenuto renderizzato. Per aziende che usano ChatGPT per ricerca e sintesi, diventa essenziale trattare i riassunti come contenuto non fidato, limitare il caricamento di risorse remote e rafforzare le policy contro prompt injection e link ingannevoli.