นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Permiso Security ได้เปิดเผยรายละเอียดของช่องโป่วใหม่ในระบบ OpenAI ChatGPT ซึ่งถูกตั้งชื่อรหัสว่า ChatGPhish ช่องโป่วดังกล่าวถูกใช้ประโยชน์จากการที่ตัวแสดงผลบนเว็บไซต์ chatgpt.com มีความไว้วางใจในลิงก์และรูปภาพที่อยู่ในรูปแบบ Markdown โดยไม่มีการตรวจสอบเพิ่มเติม

ผู้โจมตีสามารถใช้ประโยชน์จากจุดอ่อนนี้เพื่อทำการ Prompt Injection และเปิดช่องทางสำหรับการโจมตีแบบ Phishing ได้อย่างมีประสิทธิภาพ เมื่อผู้ใช้งานให้ ChatGPT สรุปเนื้อหาจากเว็บไซต์ที่ถูกปลอมแปลง ระบบจะดึงข้อมูลและแสดงผลลิงก์หรือรูปภาพที่ฝังมาลวงไว้ในข้อความสรุป ซึ่งหากผู้ใช้คลิกก็จะถูกนำไปยังเว็บไซต์ปลอมหรือถูกขโมยข้อมูลสำคัญ

การค้นพบครั้งนี้เน้นย้ำถึงความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับการพึ่งพา AI ในการประมวลผลและสรุปข้อมูลจากแหล่งภายนอก หากแพลตฟอร์มไม่มีกลไกในการ sanitize หรือตรวจสอบความปลอดภัยของ Markdown อย่างเพียงพอ อาจทำให้ฟีเจอร์ที่มีประโยชน์กลายเป็นเครื่องมือสำหรับผู้ไม่ประสงค์ดีในการหลอกลวงเหยื่อได้

คำศัพท์เทคนิคที่น่าสนใจ

• Phishing – การหลอกลวงผ่านช่องทางอิเล็กทรอนิกส์โดยปลอมแปลงตัวตนเพื่อล่อให้เหยื่อเปิดเผยข้อมูลสำคัญ
• Prompt Injection – การโจมตีระบบ AI โดยการแทรกคำสั่งหรือข้อมูลที่มุ่งร้ายเพื่อบิดเบือนการทำงานหรือการตัดสินใจของโมเดล
• Markdown – ภาษามาร์กอัปเบาๆ ที่ใช้สำหรับจัดรูปแบบข้อความ ซึ่งสามารถฝังลิงก์และรูปภาพได้

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/chatgphish-vulnerability-turns-chatgpt.html