當心,你運行的AI可能變成內奸,會幫攻擊者劫持你的電腦
大模型發展到現在,大家的設備上基本都有 AI 大模型工具了吧。
隨著多模態、交互、編碼等各項能力的進化,AI 智能體的應用也越來越廣泛。隨之而來的就是 AI 智能體在相應應用場景獲取的權限也越來越多。
最近在刷視頻的時候都有彈幕感嘆,智能助手的權限真的高。
尤其是在 AI 已經落地應用的殺手锏能力 —— 編程領域里,智能體幾乎獲取了用戶設備中文件全部的讀寫權限。這方面的風險不言自明。
「刪庫」事件是 AI 智能體本身的翻車,大眾的目光似乎總是被 AI 模型自身的能力缺陷造成的風險吸引了注意,但卻似乎忽視了更大的外部風險。
你設備里的 AI 智能體很可能被利用來攻擊你。
這并非危言聳聽,就在 UTC 時間 26 日晚約 10 點 32 分,這類的惡意程序已經出現,并且影響了成千上萬的開發者。
首次利用 AI 工具攻擊的惡意軟件
2025 年 8 月 26 日晚上約 10 點 32 分(UTC),廣受歡迎的 Nx 構建系統(Nx build system) 軟件包遭到入侵,被植入了竊取數據的惡意程序。這些帶有后門的版本僅在網絡上存活了 5 個多小時 就被下架,但在這短暫的時間里,成千上萬的開發者可能已經受到影響。
這是首次記錄的惡意軟件利用 AI CLI 工具進行偵察和數據竊取的案例。
這次的惡意代碼不只是竊取 SSH 密鑰、npm 令牌、.gitconfig 文件。
它更進一步,將開發者常用的 AI 命令行工具(CLI)武器化,包括 Claude、Gemini 和 q。這些 AI 工具被劫持,用來做信息獲取和數據外傳。這是已知的首個案例:黑客把開發者的 AI 智能體變成了攻擊的幫兇。
由于 Nx 生態系統本身非常流行,再加上 AI 工具濫用的現象,這次事件凸顯了黑客攻擊的嚴重性。所有安裝過受污染版本的用戶,都必須立即采取補救措施。目前,nx 團隊已經發布了官方安全通告(編號 GHSA-cxm3-wv7p-598c),確認了這次入侵,并披露更多細節。公告證實:攻擊源于一名維護者的 npm 賬號令牌泄露,黑客借此控制了發布權限。
事件時間線(UTC 時間)
這場攻擊在數小時內迅速展開:
- 10:32 PM —— 惡意版本 21.5.0 發布到 npm 倉庫
- 10:39 PM —— 惡意版本 20.9.0 發布
- 11:54 PM —— 黑客同時發布 20.10.0 和 21.6.0 兩個帶毒版本
- 8 月 27 日 12:16 AM —— 惡意版本 20.11.0 發布
- 12:17 AM —— 僅一分鐘后,又發布惡意版本 21.7.0
- 12:30 AM —— 一名社區成員在 GitHub 提交 issue,提醒 nx 團隊發現可疑行為
- 12:37 AM —— 最后兩個惡意版本 21.8.0 和 20.12.0 被發布
- 02:44 AM —— npm 官方采取行動,移除所有受影響版本
- 03:52 AM —— nx 組織所有者吊銷被盜的維護者賬號,阻止進一步的惡意發布
- 09:05 AM —— GitHub 限制了被竊取機密信息的倉庫,將其設為私有并從搜索結果中移除
- 10:20 AM —— npm 進一步清理,移除了更多受影響的相關軟件包版本
- 03:57 PM —— npm 啟用新的安全措施,覆蓋所有 Nx 包
整場攻擊持續了約 5 小時 20 分鐘,黑客在兩個主要版本分支中一共發布了 8 個惡意版本。
這次事件不僅是供應鏈安全的一次重大警示,更是首次揭示:AI 開發助手也可能被黑客「反向利用」,成為攻擊鏈條的一環。
本次惡意攻擊的技術分析
這次被入侵的 Nx 軟件包,每周有超過 400 萬次下載。黑客在其中植入了一個惡意的 post-install hook。
每當開發者安裝這個包時,它就會自動運行一個叫 telemetry.js 的腳本。這個腳本幾乎是「秒觸發」,為攻擊者打開了進入開發者電腦的大門 —— 并且是大規模同時發生的。
一旦腳本運行,它會系統化地搜集受害電腦上的敏感信息:
- 系統信息:環境變量(process.env)、主機名和操作系統細節以及平臺信息。
- 加密貨幣錢包:MetaMask 密鑰庫、Electrum 錢包、Ledger 與 Trezor 硬件錢包數據、Exodus、Phantom 和 Solflare 錢包以及通用的密鑰文件(例如 UTC–*、keystore.json、*.key)。
收集到信息后,惡意程序會執行一套「隱蔽又高效」的外傳步驟:
- 使用竊取的 GitHub 令牌,自動創建一個名為 s1ngularity-repository 的公共 GitHub 倉庫。部分變種還會在名字后面加上 「-0」、「-1」 等數字后綴。
- 將所有收集到的數據 進行三次 Base64 編碼(triple-base64 encode)。
- 把結果寫入一個名為 results.b64 的文件,并上傳到新建倉庫。
- 把倉庫設為 公開狀態,間接讓敏感數據暴露在互聯網上。
黑客不僅要竊取數據,還要制造混亂:
- 在~/.bashrc 和~/.zshrc 文件末尾,惡意程序會添加命令:sudo shutdown -h 0。
- 這樣一來,每次用戶新開一個終端,系統就會嘗試立即關機。
- 結果就是造成了一種 拒絕服務(DoS) 的效果:開發者的工作環境被徹底破壞。
對于此事件的更多信息,可以參閱原技術博客:
AI 被黑客濫用的新趨勢
不僅是利用 AI 工具入侵用戶數,黑客們利用 AI 進行惡意行為的現象已經成為了一種新的趨勢。參照 Anthropic 八月份 AI 濫用報告,Claude 同樣也是被黑客濫用的重災區。
博客鏈接:https://www.anthropic.com/news/detecting-countering-misuse-aug-2025
黑客用 Claude 擴大勒索
犯罪分子利用 Claude Code 實施了大規模的數據盜竊和勒索。受害對象至少包括 17 家不同的機構,涵蓋醫療、應急服務、政府部門,甚至宗教組織。
與傳統勒索軟件不同,這名黑客并沒有加密數據,而是直接威脅:如果不給錢,就把敏感信息公之于眾。在一些案例中,勒索金額高達 50 萬美元。
在此次勒索行動中,Claude 被用到了前所未有的程度:
- Claude Code 自動化了大量偵查任務,幫助黑客竊取受害者憑證并滲透網絡。
- Claude 不只是執行命令,還能做出 戰術與戰略層面的決策,比如選擇竊取哪些數據、如何撰寫勒索信息。
- 它會分析被盜的財務數據,自動推算合理的勒索金額。
- 它甚至還能生成 視覺上極具沖擊力的勒索通知,直接顯示在受害者電腦上,制造心理壓力。
Anthropic 把這種行為稱為「氛圍黑客(vibe hacking)」。
犯罪分子售賣 AI 生成的勒索軟件
另一名網絡犯罪分子則把 Claude 當作「勒索軟件工廠」。他們利用 Claude 開發、打包并推向市場了多個版本的勒索軟件。
完成后,黑客將這些「勒索軟件即服務(RaaS)」發布在網絡論壇上出售,價格在 400 美元到 1200 美元 不等。換句話說,即便沒有多少技術能力的人,也能花錢買到一款現成的 AI 生成勒索工具。
2025 年 1 月,網絡犯罪分子在暗網上的首次銷售廣告。
全球首個已知的 AI 驅動勒索軟件
ESET Research 最近發現了全球首個已知的 AI 驅動勒索軟件,并將其命名為 PromptLock。
這種惡意軟件的獨特之處在于,它并非使用傳統硬編碼邏輯,而是依賴 AI 模型動態生成攻擊腳本。
PromptLock 并不依賴傳統的固定惡意代碼,而是通過 Ollama API 在本地調用 gpt-oss-20b 模型,由攻擊者預先寫入的提示詞即時生成惡意 Lua 腳本并立即執行。
這些腳本具備跨平臺特性,可以在 Windows、Linux 和 macOS 上無縫運行。
研究人員指出,多項跡象表明 PromptLock 更像是一個 概念驗證(PoC) 或仍在開發中的實驗樣本,而非已經廣泛部署的成熟勒索軟件。
更令人關注的是,PromptLock 并不會把體量巨大的模型直接下載到受害者設備上,而是通過在受害網絡中建立 代理,將請求轉發至遠程服務器上運行的 Ollama API + gpt-oss-20b 模型,這種方式屬于 MITRE ATT&CK 框架中的內部代理技術,也是現代網絡攻擊中愈發常見的手段。
總結
隨著 AI 能力不斷增強,黑客和詐騙分子也在不斷「升級」手法。智能體型 AI 已被用作武器,直接參與并執行復雜的網絡攻擊。
同時,AI 大幅降低了作案門檻,讓本該需要復雜知識體系黑客技能,變成任何人都能借助 AI 輕松完成的操作。
更嚴重的是,AI 已經滲透進網絡犯罪的整個流程:從鎖定受害者、分析被盜數據、竊取信用卡信息,到偽造身份、擴大詐騙規模,AI 正在成為黑客的全鏈路「幫兇」。
這或許意味著未來的惡意軟件可能更加靈活、難以預測,也更難以防御。
