123,123,123

黑客成功“欺騙”ChatGPT、Grok與谷歌：誘導(dǎo)用戶執(zhí)行惡意指令

2025-12-11 17:44

據(jù)外媒 Engadget 報(bào)道，近年來，隨著人工智能在搜索、技術(shù)支持及日常生活中的普及，一類新型網(wǎng)絡(luò)攻擊正悄然成型。

安全公司 Huntress 最新發(fā)布的分析報(bào)告顯示，黑客正在利用用戶對(duì) AI 的信任，結(jié)合搜索引擎排名策略，將精心設(shè)計(jì)的惡意命令偽裝成正常技術(shù)建議，通過谷歌等搜索引擎自動(dòng)呈現(xiàn)給毫無戒心的用戶，誘導(dǎo)其在設(shè)備上執(zhí)行，從而安裝數(shù)據(jù)竊取或惡意程序。

Huntress 的研究人員在追查一起針對(duì) macOS 系統(tǒng)的數(shù)據(jù)竊取活動(dòng)時(shí)發(fā)現(xiàn)，這種新型攻擊鏈?zhǔn)加谝粋€(gè)看似無害的搜索查詢。

用戶在 Google 中輸入諸如“清理 Mac 磁盤空間（clear disk space on macOS）”之類常見問題時(shí)，搜索結(jié)果頁(yè)面頂部可能顯示經(jīng)過付費(fèi)推廣并鏈接到真實(shí) AI 平臺(tái)的對(duì)話鏈接。點(diǎn)擊這些鏈接后，用戶看到的是一個(gè)完整、看似專業(yè)的 AI 技術(shù)支持對(duì)話內(nèi)容，其中包含了讓用戶在終端執(zhí)行的命令。

值得注意的是，這些鏈接并非指向惡意站點(diǎn)或偽造頁(yè)面，而是托管在 chatgpt.com 或 grok.com 等正規(guī)域名之下，是由攻擊者預(yù)先與 AI 對(duì)話生成、并通過 SEO 優(yōu)化推上搜索結(jié)果前列的“對(duì)話內(nèi)容”。

一旦用戶按照提示操作，將命令復(fù)制粘貼到終端執(zhí)行，惡意腳本就會(huì)啟動(dòng)并悄無聲息地下載、安裝后門或竊取工具。

被利用的“信任鏈”

在一個(gè)確切的案例中，當(dāng)受害者搜索上述關(guān)鍵詞并點(diǎn)擊 ChatGPT 的鏈接時(shí)，AI 給出的建議看起來像是在幫助優(yōu)化存儲(chǔ)空間，但其中嵌入的命令卻是一個(gè)經(jīng)過編碼的 Bash 命令行，這條命令會(huì)下載并執(zhí)行名為 Atomic macOS Stealer（AMOS）的數(shù)據(jù)竊取木馬。

執(zhí)行后，AMOS 會(huì)悄無聲息地收集受害者的系統(tǒng)憑證，提升權(quán)限，并建立長(zhǎng)久的服務(wù)保持機(jī)制，將敏感數(shù)據(jù)傳輸出去，而整個(gè)過程沒有任何傳統(tǒng)的惡意文件下載提示或系統(tǒng)安全警告。

這一攻擊成功的關(guān)鍵在于信任鏈的構(gòu)建：用戶對(duì)谷歌搜索、對(duì) ChatGPT 和 Grok 等 AI 平臺(tái)有高度信任，而攻擊者正是利用這種信任關(guān)系進(jìn)行釣魚式誘導(dǎo)。

這類攻擊不需要用戶下載可疑文件、不需要點(diǎn)擊明顯可疑的 URL，也不會(huì)觸發(fā)常見的安全警告。用戶只要按照看似合理的技術(shù)建議操作，就可能在不知不覺中完成自我感染的全過程。

Huntress 的報(bào)告強(qiáng)調(diào)，這種方式是目前觀察到的最危險(xiǎn)的攻擊之一，因?yàn)樗耆?guī)避了傳統(tǒng)的安全防護(hù)。既利用了 AI 的自動(dòng)生成能力，也結(jié)合了搜索引擎付費(fèi)推廣（SEO/SEM）機(jī)制。

根據(jù) Huntress 的分析，這波攻擊并不依賴直接入侵 AI 系統(tǒng)或搜索引擎本身，而是在外部構(gòu)造對(duì)話環(huán)境引導(dǎo) AI 生成帶有終端命令的內(nèi)容。這類命令通常包含對(duì)惡意腳本的 base64 編碼下載鏈接或同樣具備危險(xiǎn)行為的指令。

由于這些命令本身是文本形式，且看上去像是合乎邏輯的技術(shù)步驟，因此 AI 在缺乏有效上下文審查時(shí)會(huì)生成這些內(nèi)容，最終被保存為可通過鏈接訪問的對(duì)話頁(yè)。

當(dāng)用戶執(zhí)行這些命令時(shí)，惡意腳本會(huì)在系統(tǒng)內(nèi)完成進(jìn)一步操作。例如，它可能使用系統(tǒng)自帶的工具（如 curl）下載并執(zhí)行腳本，用 dscl 收集用戶憑證，在獲得 root 權(quán)限后安裝持久化組件，并悄然運(yùn)行竊取數(shù)據(jù)的進(jìn)程。

AI 內(nèi)容的安全隱患

雖然目前觀察到的案例主要發(fā)生在 ChatGPT 和 Grok 平臺(tái)，但安全研究界認(rèn)為，這類攻擊的核心在于 AI 內(nèi)容本身的可信性與語(yǔ)境生成能力，而非特定工具的漏洞。

這意味著任何能夠生成可執(zhí)行技術(shù)建議的 AI 都可能被濫用。如果沒有對(duì)生成內(nèi)容的安全審查機(jī)制，攻擊者可以通過多種手段誘導(dǎo)系統(tǒng)生成具有危險(xiǎn)行為的建議。

目前 Huntress 報(bào)告中重點(diǎn)提及的是 macOS 平臺(tái)上的 AMOS 木馬，但業(yè)內(nèi)分析認(rèn)為，這種方法并不局限于單一平臺(tái)或單一惡意程序。攻擊者一旦掌握了“搜索結(jié)果排序 + AI 生成內(nèi)容”的方法，就可能在更大范圍內(nèi)濫用這類渠道。

事件曝光后，業(yè)內(nèi)安全專家紛紛呼吁加強(qiáng)對(duì) AI 內(nèi)容生成系統(tǒng)的安全審查機(jī)制，要求平臺(tái)提供更嚴(yán)格的輸出過濾與風(fēng)險(xiǎn)提示。

AI 服務(wù)提供商和搜索引擎公司也應(yīng)加強(qiáng)監(jiān)測(cè)機(jī)制，及時(shí)發(fā)現(xiàn)并移除具有潛在風(fēng)險(xiǎn)的搜索結(jié)果鏈接，同時(shí)提高用戶教育力度，讓更多非專業(yè)用戶理解隨意執(zhí)行命令可能帶來的危險(xiǎn)。

此次事件的出現(xiàn)提醒我們：技術(shù)的便捷不應(yīng)成為攻擊者利用的弱點(diǎn)。人類對(duì) AI 的信任，需要通過更加完善的安全措施和使用常識(shí)得到保護(hù)。用戶即便在信賴的環(huán)境中，也應(yīng)始終保持警覺，避免因過度信任而執(zhí)行可能威脅系統(tǒng)安全的操作。

參考資料：

https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust?utm_source=chatgpt.com

https://www.engadget.com/cybersecurity/hackers-tricked-chatgpt-grok-and-google-into-helping-them-install-malware-185711492.html?utm_source=chatgpt.com

https://www.ithome.com/0/904/202.htm