Prompt-injeksjon gjør ChatGPT til phishing-flate

ChatGPT kan bli brukt som phishing-flate når den oppsummerer nettsider med skjulte instruksjoner. Det er kjernen i en ny sikkerhetssak fra The Register, basert på arbeid fra Permiso-forsker Andi Ahmeti.

Poenget er ikke at en bruker klikker på en åpenbart mistenkelig lenke på en nettside. Poenget er at selve AI-assistenten kan presentere angriperens innhold som om det var en del av ChatGPT-svaret.

Ahmeti kaller teknikken «ChatGPhish». Han beskriver en prompt-injeksjon der angriperen legger skjulte instruksjoner i innholdet ChatGPT blir bedt om å lese. Når brukeren ber om en oppsummering, kan modellen først gi en normal oppsummering og deretter legge til en falsk sikkerhetsmelding, en phishing-lenke eller en QR-kode.

Det gjør angrepet mer troverdig. Brukeren står ikke lenger bare overfor en tilfeldig nettside. Brukeren ser en melding inne i et verktøy vedkommende allerede stoler på.

Fra webside til AI-generert lokkemiddel

The Register skriver at Ahmeti demonstrerte angrepet ved å legge instruksjoner inn i en side som ChatGPT senere ble bedt om å oppsummere. Modellen oppsummerte innholdet som forventet, men la også til en melding om at en ny enhet var lagt til kontoen. Meldingen inneholdt en klikkbar lenke til et angriperkontrollert domene.

I en annen variant viste ChatGPT en QR-kode i svaret. Ifølge Ahmeti kan det flytte angrepet fra PC-en til mobilen. Da kan angriperen omgå enkelte desktop-kontroller, inkludert blokkeringer, URL-sjekker og passordhåndtererens domenekontroll.

Dette er en nyttig påminnelse for sikkerhetsledere: AI-svar er ikke automatisk trygt innhold. Når modeller får hente, tolke og rendere eksternt innhold, blir svaret en del av angrepsflaten.

Det er særlig relevant når AI-assistenter bygges inn i nettlesere, kontorstøtte, kundeserviceverktøy, saksbehandling og interne portaler. Jo nærmere modellen kommer arbeidsflyten, jo mer skade kan en manipulert instruksjon gjøre.

Ikke bare et modellproblem

Prompt-injeksjon har lenge vært omtalt som et problem for modellen. Denne saken viser hvorfor det også er et applikasjonssikkerhetsproblem.

Risikoen ligger i hva modellen kan påvirke. Kan den vise lenker? Kan den rendere Markdown? Kan den vise bilder eller QR-koder? Kan den åpne verktøy, hente filer, skrive til systemer eller sende data videre? Da er det ikke nok å stole på at modellen «forstår» hva som er legitimt.

Ahmeti sier til The Register at AI-produkter begynner å ligne nettlesere eller operativsystemmiljøer. Det er presist. En moderne AI-assistent er ikke bare en tekstboks. Den kan lese nett, oppsummere dokumenter, kalle verktøy, lagre minne og presentere handlingsklare anbefalinger.

For en virksomhet betyr det at tradisjonelle kontroller må flyttes nærmere AI-flaten. Sikkerhetsarkitekturen må ta høyde for at alt innhold modellen leser kan være fiendtlig, også når det ser ut som vanlig dokumentasjon, en supportside eller en GitHub-side.

Hva CIO og CISO bør gjøre nå

Det første tiltaket er å behandle modelloutput som utrygt innhold. Det høres banalt ut, men mange interne AI-piloter gjør det motsatte. De viser modellens svar i samme flate som pålitelige systemmeldinger, interne lenker og automatiserte anbefalinger.

Det andre er å begrense rendering. Markdown, HTML, bilder, forhåndsvisninger og QR-koder bør ha egne regler. En AI-assistent trenger sjelden å vise en aktiv QR-kode fra en ekstern kilde i en intern arbeidsflyt. Den trenger heller ikke å gjøre ukjente lenker visuelt troverdige.

Det tredje er isolasjon. Innhold modellen lager eller henter bør rendres i et sandkasset miljø med tydelig skille mellom modelltekst, kildetekst, systemmeldinger og brukerhandlinger. Hvis alt får samme visuelle autoritet, vinner angriperen.

Det fjerde er leverandørkrav. Virksomheter som ruller ut ChatGPT, Copilot, Claude eller andre assistenter i nettleser- og dokumentflyter bør spørre konkret: Hvordan håndteres prompt-injeksjon? Hvordan merkes eksternt innhold? Hvilke typer lenker og medier kan modellen vise? Finnes det policy for QR-koder, vedlegg og automatisk forhåndsvisning?

Dette bør inn i akseptansekriteriene før AI-assistenter får tilgang til sensitive arbeidsflater.

Status er uklar

Ahmeti opplyser til The Register at han meldte saken til OpenAI via Bugcrowd i april og oppdaterte rapporten i mai. The Register skriver at OpenAI ikke svarte på avisens spørsmål før publisering, og at det ikke var bekreftet om feilen var rettet.

Det betyr ikke at alle ChatGPT-brukere er kompromittert. Det betyr at virksomheter ikke bør vente på én leverandørmelding før de strammer inn egne kontroller. Angrepsmønsteret er generelt. Det gjelder alle systemer der en modell får lese ukontrollert innhold og deretter presentere lenker, bilder eller handlinger til brukeren.

For norske virksomheter er lærdommen enkel: AI-assistenten må inn i trusselmodellen. Ikke som et eksperiment på siden av sikkerhetsprogrammet, men som en ny brukerflate med tilgang til data, beslutninger og tillit.

Kilder og medier

Kilde: The Register, «ChatGPT prompt injection turns web pages into phishing lures», publisert 29. mai 2026. source_url: https://www.theregister.com/research/2026/05/29/chatgpt-prompt-injection-turns-web-pages-into-phishing-lures/5248137

Kildekreditering: The Register. Saken bygger på The Registers rapportering og uttalelser fra Permiso-forsker Andi Ahmeti, slik de er gjengitt i artikkelen.

Thumbnail: OpenAI Image 2 / hogby.ai