当心, 你运行的AI可能变成内奸, 会帮攻击者劫持你的电脑
大模型发展到现在,大家的设备上基本都有 AI 大模型工具了吧。
随着多模态、交互、编码等各项能力的进化,AI 智能体的应用也越来越广泛。随之而来的就是 AI 智能体在相应应用场景获取的权限也越来越多。
最近在刷视频的时候都有弹幕感叹,智能助手的权限真的高。
尤其是在 AI 已经落地应用的杀手锏能力 —— 编程领域里,智能体几乎获取了用户设备中文件全部的读写权限。这方面的风险不言自明。就像我们过去报道过的 Replit「删库」事件。
「删库」事件是 AI 智能体本身的翻车,大众的目光似乎总是被 AI 模型自身的能力缺陷造成的风险吸引了注意,但却似乎忽视了更大的外部风险。
你设备里的 AI 智能体很可能被利用来攻击你。
这并非危言耸听,就在 UTC 时间 26 日晚约 10 点 32 分,这类的恶意程序已经出现,并且影响了成千上万的开发者。
首次利用 AI 工具攻击的恶意软件
2025 年 8 月 26 日晚上约 10 点 32 分(UTC),广受欢迎的 Nx 构建系统(Nx build system) 软件包遭到入侵,被植入了窃取数据的恶意程序。这些带有后门的版本仅在网络上存活了 5 个多小时 就被下架,但在这短暂的时间里,成千上万的开发者可能已经受到影响。
这是首次记录的恶意软件利用 AI CLI 工具进行侦察和数据窃取的案例。
这次的恶意代码不只是窃取 SSH 密钥、npm 令牌、.gitconfig 文件。
它更进一步,将开发者常用的 AI 命令行工具(CLI)武器化,包括 Claude、Gemini 和 q。这些 AI 工具被劫持,用来做信息获取和数据外传。这是已知的首个案例:黑客把开发者的 AI 智能体变成了攻击的帮凶。
由于 Nx 生态系统本身非常流行,再加上 AI 工具滥用的现象,这次事件凸显了黑客攻击的严重性。所有安装过受污染版本的用户,都必须立即采取补救措施。目前,nx 团队已经发布了官方安全通告(编号 GHSA-cxm3-wv7p-598c),确认了这次入侵,并披露更多细节。公告证实:攻击源于一名维护者的 npm 账号令牌泄露,黑客借此控制了发布权限。
事件时间线(UTC 时间)
这场攻击在数小时内迅速展开:
10:32 PM —— 恶意版本 21.5.0 发布到 npm 仓库
10:39 PM —— 恶意版本 20.9.0 发布
11:54 PM —— 黑客同时发布 20.10.0 和 21.6.0 两个带毒版本
8 月 27 日 12:16 AM —— 恶意版本 20.11.0 发布
12:17 AM —— 仅一分钟后,又发布恶意版本 21.7.0
12:30 AM —— 一名社区成员在 GitHub 提交 issue,提醒 nx 团队发现可疑行为
12:37 AM —— 最后两个恶意版本 21.8.0 和 20.12.0 被发布
02:44 AM —— npm 官方采取行动,移除所有受影响版本
03:52 AM —— nx 组织所有者吊销被盗的维护者账号,阻止进一步的恶意发布
09:05 AM —— GitHub 限制了被窃取机密信息的仓库,将其设为私有并从搜索结果中移除
10:20 AM —— npm 进一步清理,移除了更多受影响的相关软件包版本
03:57 PM —— npm 启用新的安全措施,覆盖所有 Nx 包
整场攻击持续了约 5 小时 20 分钟,黑客在两个主要版本分支中一共发布了 8 个恶意版本。
这次事件不仅是供应链安全的一次重大警示,更是首次揭示:AI 开发助手也可能被黑客「反向利用」,成为攻击链条的一环。
本次恶意攻击的技术分析
这次被入侵的 Nx 软件包,每周有超过 400 万次下载。黑客在其中植入了一个恶意的 post-install hook。
每当开发者安装这个包时,它就会自动运行一个叫 telemetry.js 的脚本。这个脚本几乎是「秒触发」,为攻击者打开了进入开发者电脑的大门 —— 并且是大规模同时发生的。
一旦脚本运行,它会系统化地搜集受害电脑上的敏感信息:
系统信息:环境变量(process.env)、主机名和操作系统细节以及平台信息;
加密货币钱包:MetaMask 密钥库、Electrum 钱包、Ledger 与 Trezor 硬件钱包数据、Exodus、Phantom 和 Solflare 钱包以及通用的密钥文件(例如 UTC–*、keystore.json、*.key);
收集到信息后,恶意程序会执行一套「隐蔽又高效」的外传步骤:
使用窃取的 GitHub 令牌,自动创建一个名为 s1ngularity-repository 的公共 GitHub 仓库。部分变种还会在名字后面加上 「-0」、「-1」 等数字后缀。
将所有收集到的数据 进行三次 Base64 编码(triple-base64 encode)。
把结果写入一个名为 results.b64 的文件,并上传到新建仓库。
把仓库设为 公开状态,间接让敏感数据暴露在互联网上。
黑客不仅要窃取数据,还要制造混乱:
在~/.bashrc 和~/.zshrc 文件末尾,恶意程序会添加命令:sudo shutdown -h 0
这样一来,每次用户新开一个终端,系统就会尝试立即关机。
结果就是造成了一种 拒绝服务(DoS) 的效果:开发者的工作环境被彻底破坏。
对于此事件的更多信息,可以参阅原技术博客:
https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware#conclusion
AI 被黑客滥用的新趋势
不仅是利用 AI 工具入侵用户数,黑客们利用 AI 进行恶意行为的现象已经成为了一种新的趋势。参照 Anthropic 八月份 AI 滥用报告,Claude 同样也是被黑客滥用的重灾区。
博客链接:https://www.anthropic.com/news/detecting-countering-misuse-aug-2025
黑客用 Claude 扩大勒索
犯罪分子利用 Claude Code 实施了大规模的数据盗窃和勒索。受害对象至少包括 17 家不同的机构,涵盖医疗、应急服务、政府部门,甚至宗教组织。
与传统勒索软件不同,这名黑客并没有加密数据,而是直接威胁:如果不给钱,就把敏感信息公之于众。在一些案例中,勒索金额高达 50 万美元。
在此次勒索行动中,Claude 被用到了前所未有的程度:
Claude Code 自动化了大量侦查任务,帮助黑客窃取受害者凭证并渗透网络。
Claude 不只是执行命令,还能做出 战术与战略层面的决策,比如选择窃取哪些数据、如何撰写勒索信息。
它会分析被盗的财务数据,自动推算合理的勒索金额。
它甚至还能生成 视觉上极具冲击力的勒索通知,直接显示在受害者电脑上,制造心理压力。
Anthropic 把这种行为称为「氛围黑客(vibe hacking)」。
犯罪分子售卖 AI 生成的勒索软件
另一名网络犯罪分子则把 Claude 当作「勒索软件工厂」。他们利用 Claude 开发、打包并推向市场了多个版本的勒索软件。
完成后,黑客将这些「勒索软件即服务(RaaS)」发布在网络论坛上出售,价格在 400 美元到 1200 美元 不等。换句话说,即便没有多少技术能力的人,也能花钱买到一款现成的 AI 生成勒索工具。
2025 年 1 月,网络犯罪分子在暗网上的首次销售广告
全球首个已知的 AI 驱动勒索软件
ESET Research 最近发现了全球首个已知的 AI 驱动勒索软件,并将其命名为 PromptLock。
这种恶意软件的独特之处在于,它并非使用传统硬编码逻辑,而是依赖 AI 模型动态生成攻击脚本。
PromptLock 并不依赖传统的固定恶意代码,而是通过 Ollama API 在本地调用 gpt-oss-20b 模型,由攻击者预先写入的提示词即时生成恶意 Lua 脚本并立即执行。
这些脚本具备跨平台特性,可以在 Windows、Linux 和 macOS 上无缝运行。
研究人员指出,多项迹象表明 PromptLock 更像是一个 概念验证(PoC) 或仍在开发中的实验样本,而非已经广泛部署的成熟勒索软件。
更令人关注的是,PromptLock 并不会把体量巨大的模型直接下载到受害者设备上,而是通过在受害网络中建立 代理,将请求转发至远程服务器上运行的 Ollama API + gpt-oss-20b 模型,这种方式属于 MITRE ATTCK 框架中的内部代理技术,也是现代网络攻击中愈发常见的手段。
总结
随着 AI 能力不断增强,黑客和诈骗分子也在不断「升级」手法。智能体型 AI 已被用作武器,直接参与并执行复杂的网络攻击。
同时,AI 大幅降低了作案门槛,让本该需要复杂知识体系黑客技能,变成任何人都能借助 AI 轻松完成的操作。
更严重的是,AI 已经渗透进网络犯罪的整个流程:从锁定受害者、分析被盗数据、窃取信用卡信息,到伪造身份、扩大诈骗规模,AI 正在成为黑客的全链路「帮凶」。
这或许意味着未来的恶意软件可能更加灵活、难以预测,也更难以防御。
