2026年5月29日、Permiso SecurityはOpenAIのChatGPTに存在する脆弱性「ChatGPhish」を公開しました。研究者アンディ・アフメティによれば、ChatGPTは要約したサードパーティ製ページ由来のMarkdownリンクおよび画像URLを信頼し、それらを自動取得します。
攻撃者が任意のWebページにペイロードを仕込むと、要約時にIP、User-Agent、Refererが漏えいし、フィッシングリンクや偽のセキュリティ警告、攻撃者のS3バケットのQRコードがアシスタントのUI内に表示されます。Permisoは同年3月にもMicrosoft CopilotにおけるXPIAを公表していました。
あわせてAdversa AIは、AIコーディングエージェントを標的とする「SymJack」「TrustFall」を文書化しています。
From: 
ChatGPhish Vulnerability Turns ChatGPT Web Summaries Into a Phishing Surface
【編集部解説】
まず押さえておきたいのは、今回の問題が「AIがだまされること」そのものではない、という点です。プロンプトインジェクション自体は以前から知られた手口であり、目新しさはありません。ChatGPhishが注目されているのは、だまされた結果が「信頼されたChatGPTの画面の中に、あたかも本物のUIのような顔をして表示される」という、出力側の挙動にあります。
少し技術的に噛み砕きます。私たちがWebページの要約を頼むと、ChatGPTはそのページの文章を読み込み、結果をMarkdownという軽量な記法で整形して見せます。問題は、ChatGPTの応答レンダラーが「外部ページ由来のリンクや画像」と「ChatGPT自身が生成した内容」を区別していないことです。リンクはクリック可能な状態で並び、画像は自動的に取得されます。攻撃者から見れば、要約という入口さえあればよいわけです。
The Registerの取材に対し、発見者でPermiso社の調査部門P0 Labsに所属するアンディ・アフメティ氏は、AI製品が「ブラウザやOSのような環境に近づいている」と語っています。これは単なるモデルのアライメント(振る舞いの調整)の話ではなく、アプリケーションのセキュリティ設計そのものの問題だ、という指摘です。私もこの見立てに賛同します。
影響範囲は、メール経由のフィッシングよりも広いと捉えるべきでしょう。従来は、怪しい添付ファイルを開く、不審なメッセージに反応するといった「被害者の能動的な操作」が前提でした。ところがブラウザでは、ふだんの調べ物の最中にページを要約させただけで、攻撃者の指示がモデルへ渡ってしまいます。GitHubのREADME、ドキュメント、ブログ、ダッシュボード——要約を頼みたくなるページなど、いくらでも存在します。
具体的に何が起きるのか。リンク型では、ChatGPTが発行したかに見える偽のセキュリティ警告を表示し、攻撃者のドメインへ誘導します。画像型では、追跡用の画像を毎回読み込ませてIPアドレスやUser-Agentを漏らしたり、攻撃者のS3バケットに置いたQRコードを読ませたりできてしまいます。QRコードがやっかいなのは、スマートフォンという「別の端末」へ処理が移るため、PC側のURLフィルターもパスワードマネージャーの警告も一切働かない点にあります。
もっとも、過度に不安を煽るのは公平ではありません。これは現時点では研究者による概念実証(PoC)であり、実被害が広く確認された段階ではありません。攻撃の成立には「利用者が当該ページを要約する」という一手間が必要で、無条件に発火するわけでもありません。冷静に距離感を測ることが大切です。
ただ、対応の経緯には気になる点が残ります。Permisoの開示タイムラインによれば、最初の報告は2026年4月29日にBugcrowd経由で提出されましたが、翌4月30日に「再現できない」と判定され、5月1日の再提出では「重複」として扱われました。The Registerの問い合わせにもOpenAIは応答せず、記事公開の時点で修正の有無は確認できていません。直っている保証がない以上、当面は「ChatGPTに要約させたページの中身を、そのまま信じ込まない」という構えが現実的だと言えます。
長期的には、ChatGPT固有の不具合という以上に、ブラウザ統合型AI全体に共通する構造課題と受け止めています。実際、同種の指摘はClaudeのブラウザ拡張機能(ClaudeBleed)や、オープンソースのエージェント型ブラウザBrowserOS(WebPromptTrap、バージョン0.32.0で修正済み)など、他のAI製品でも相次いでいます。AIが「読む」だけでなく「表示する」「操作する」存在へと拡張するほど、外部コンテンツと自前の出力をどこで線引きするかが、安全設計の中心テーマになっていくはずです。
規制とガバナンスの観点でも示唆があります。アフメティ氏の挙げる対策——強固なサンドボックス化、生成内容を隔離した環境でレンダリングすること、Markdownや埋め込みへの厳格なフィルタリング——は、いずれも開発者側の設計責任に属します。「モデルの出力は常に信頼しない」という前提を、製品の作り手がどこまで引き受けられるか。AIエージェントが業務へ浸透していく2026年において、その線引きを利用者個人の注意力だけに委ねるべきではない、と私は考えています。
【用語解説】
ChatGPhish
今回見つかった攻撃手法のコードネーム。Permisoが命名した。ChatGPTにWebページを要約させる際、ページに仕込まれた指示が要約結果に紛れ込み、信頼された画面の中にフィッシング要素を表示させる点が核心である。
プロンプトインジェクション
AIへの「入力(プロンプト)」に不正な指示を紛れ込ませ、本来の挙動を乗っ取る攻撃の総称。今回は外部Webページの文中に指示を埋め込む「間接型」にあたる。
Markdown(マークダウン)
見出しやリンク、画像などを簡単な記号で記述する軽量マークアップ記法。ChatGPTが応答を整形する際に用いており、このリンク・画像を無検証で表示してしまうことが脆弱性の入口となった。
クロスプロンプトインジェクション(XPIA)
攻撃者が用意したメールや文書をAIが要約・処理する過程で、その中の指示に出力が誘導される間接型インジェクションの一種。PermisoがMicrosoft Copilotで先行して示した手口である。
ペイロード
攻撃の「中身」にあたる仕込み部分を指す語。今回は、Webページに追記された短い指示文がペイロードとなる。
User-Agent / Referer
Webアクセス時にブラウザが送る情報。閲覧者の環境(ブラウザ種別など)や、どのページから来たかを示す。画像の自動取得を通じて、これらが攻撃者側に漏れる。
応答レンダラー
ChatGPTが生成した回答を画面に整形・表示する部分。外部由来の内容とAI自身の生成物を区別しないことが、今回の問題の根にある。
アライメント
AIモデルを人間の意図や安全基準に沿って振る舞わせる調整のこと。研究者は、今回の問題はアライメントではなく出力表示の設計上の問題だと位置づけている。
サンドボックス
プログラムやコンテンツを隔離された安全な領域で実行・表示する仕組み。外部コンテンツの隔離レンダリングが対策として挙げられている。
概念実証(PoC)
攻撃や技術が理論上だけでなく実際に成立することを示す実証コードや手順。現時点のChatGPhishはこの段階にある。
SymJack / TrustFall
Adversa AIが公表した、AIコーディングエージェントを標的とする攻撃手法のコードネーム。悪意あるリポジトリ経由でリモートコード実行や端末の乗っ取りに至り得る。
ClaudeBleed
ClaudeのChromeブラウザ拡張機能に見つかった脆弱性のコードネーム。特別な権限のない拡張機能でも、AIアシスタントを乗っ取り操作させられる恐れがあるとされる。
WebPromptTrap
オープンソースのエージェント型ブラウザBrowserOSに影響した間接プロンプトインジェクション脆弱性のコードネーム。バージョン0.32.0で修正済みである。
【参考リンク】
OpenAI(外部)
ChatGPTを開発・提供する米国のAI企業。今回の脆弱性ChatGPhishの報告対象となった。
ChatGPT(外部)
OpenAIの対話型AIサービス。Webページ要約機能が攻撃の入口として悪用され得るとされる。
Permiso Security(P0 Labs)(外部)
クラウドとAIのアイデンティティ保護を手がける米企業。P0 LabsがChatGPhishを公表した。
Microsoft Copilot(外部)
Microsoftの生成AIアシスタント。Permisoが3月にメール要約悪用のXPIA研究で取り上げた。
Adversa AI(外部)
AIの安全性・堅牢性を研究するセキュリティ企業。SymJackとTrustFallを文書化した。
BrowserOS(外部)
ローカルでAIエージェントを動かすオープンソースのエージェント型ブラウザ。修正済み。
Bugcrowd(外部)
脆弱性報奨金プラットフォーム。今回の脆弱性はこのプログラム経由でOpenAIへ報告された。
Amazon S3(外部)
AWSのクラウドストレージ。攻撃者がQRコード画像の配置先として悪用し得るとされた。
【参考記事】
ChatGPhish: The Page Is the Payload(Permiso/P0 Labs)(外部)
発見者アフメティ氏による一次解説。攻撃の仕組みと三つの手口、開示タイムラインを示す。
ChatGPT blindly trusts browser content, turning the page into a payload(The Register)(外部)
独自取材記事。OpenAIが取材に未応答で、修正の有無が不明である経緯を報じている。
【関連記事】
「AIで要約」ボタンに潜む罠、31社が悪用する新攻撃手法とは
AIの要約・推奨を無意識に信頼してしまう危うさを扱った記事。本稿と問題意識が重なる。
OpenAI、ChatGPTに「Lockdown Mode」導入—プロンプトインジェクションによるデータ窃取を遮断
OpenAI側の防御策を解説した記事。本稿が報じる攻撃手法と、攻防の両面で対をなす。
ChatGPT AtlasとPerplexity Comet──AIブラウザが変えるWeb体験と深刻なセキュリティリスク
AIブラウザ全般のプロンプトインジェクションリスクを俯瞰した記事。背景理解に役立つ。
【編集部後記】
AIに「要約して」と頼むとき、私たちは無意識のうちに、返ってきた画面そのものを信じてしまいがちです。今回の取材を通じて、便利さの裏側にある”信頼の境界線”について、改めて考えさせられました。
とはいえ、過度に怖がる必要はないと思っています。仕組みを少し知っておくだけで、画面の見え方は変わってきます。みなさんは、AIが返してくる情報のどこまでを信頼していますか。よかったら、ふだんの使い方を一緒に見つめ直してみませんか。これからも、期待と不安の両方に寄り添いながら、新しい一歩のための道しるべをお届けしていきます。
