Neues ChatGPT-Sicherheitsloch ermöglicht Angreifern, Webseiten in Phishing-Attacken zu verwandeln

QR-Code-Pivot: Automatisch gerenderte QR-Code-Bilder, die S3-Buckets abgerufen werden, umgehen alle Desktop-URL-Abwehrmaßnahmen – Hover-Vorschauen, Browser-Blocklisten und Passwort-Manager-Domain-Prüfungen –, da das Ziel erst nach dem Scannen auf einem zweiten Gerät sichtbar wird. Passive Tracking-Beacon: Über URL-Shortener (z.

B. shorturl.at) eingebettete Markdown-Bilder werden bei jedem Render automatisch abgerufen und geben dem Angreifer Zugriff auf die IP-Adresse des Opfers, den User-Agent, den Referer-Header sowie hochauflösende Timing-Daten an seine Infrastruktur. Besonders gefährlich an ChatGPhish ist nicht nur die Injektion selbst, sondern auch, wohin das Ergebnis gelangt.

Wie OWASP LLM01:2025 feststellt, besteht das Kernrisiko bei Prompt-Injection darin, dass LLMs nicht zuverlässig zwischen legitimen Anweisungen und in abgerufenen Daten eingebetteten Angreifer-Inhalten unterscheiden können.

Sobald dieser Angreifer-Inhalt verarbeitet wird, erscheint

Sobald dieser Angreifer-Inhalt verarbeitet wird, erscheint er im ChatGPT-Antwortfenster, stilistisch identisch mit echtem Assistant-Ausgaben, inklusive formatierter Warnmeldungen, klickbarer Links und Inline-Bildern.

Die Same-Origin-Policy des Browsers bietet keinen Schutz, da der AI-Assistant mit dem authentifizierten Kontext des Nutzers ausgeführt wird, wodurch traditionelle Web-Sicherheitsgrenzen irrelevant werden. Permiso reichte den ersten Schwachstellenbericht an OpenAI über Bugcrowd am 29.

April 2026 ein, mit dem Titel „Untrusted Markdown Rendering Leads to XSS, Phishing, and Data Exfiltration". OpenAI antwortete, dass der Bericht nicht reproduzierbar sei. Eine überarbeitete Einreichung am 1. Mai 2026 mit erweiterten Proof-of-Concept-Schritten wurde daraufhin als Duplikat eines zuvor gemeldeten Problems eingestuft.

Sicherheitslage und Risiko

Nach einer Nachfolgekommunikation am 7. Mai 2026, in der die weiteren Implikationen für Phishing, QR-Codes und passives Tracking geklärt wurden, wurde die Forschung am 29. Mai 2026 öffentlich veröffentlicht.

Bis eine klare Trennung der Quellen zwischen abgerufenem Webinhalten und dem generierten Assistentenoutput durchgesetzt ist, sollten Sicherheitsteams folgende Maßnahmen ergreifen:

Verwenden Sie KI-basierte Browser-Zusammenfassungsfunktionen nicht auf Seiten mit nutzergenerierten oder nicht vertrauenswürdigen Inhalten (Reddit, öffentliche GitHub-READMEs, Blogs).

Technik und Auswirkungen

Beschränken Sie die Berechtigungen des KI-Browsers auf das absolute Minimum und verlangen Sie eine menschliche Freigabe vor jeder Interaktion mit Links innerhalb zusammengefasster Antworten.

Betrachten Sie jeden anklickbaren Link, jede Anzeige oder jeden Warnhinweis innerhalb einer KI-Zusammenfassung als potenziell, bis die Herkunft eindeutig gekennzeichnet ist.

Implementieren Sie semantische Eingabe-/Ausgabe-Filterung und Anomalieerkennung an KI-integrierten Schnittstellen in Unternehmensumgebungen.

Überwachen Sie die Aktivitätsprotokolle des KI-Browsers auf unerwartete ausgehende Bildabfrageanfragen an unbekannte oder URL-verkürzte Endpunkte. Die Forschung zu ChatGPhish unterstreicht eine strukturelle Herausforderung, der alle in Browser integrierten KI-Zusammenfassungssysteme gegenüberstehen: Solange angreifbar kontrollierte Webinhalte den generierten Assistentenoutput beeinflussen können, ohne dass die Herkunft explizit gekennzeichnet ist, bleibt der Browser selbst eine praktische Angriffsfläche mit niedriger Schwelle für Phishing, Geräte-Pivoting und passive Aufklärung. Sie uns auf