機(jī)器之心報(bào)道

編輯：冷貓

大模型發(fā)展到現(xiàn)在，大家的設(shè)備上基本都有 AI 大模型工具了吧。

隨著多模態(tài)、交互、編碼等各項(xiàng)能力的進(jìn)化，AI 智能體的應(yīng)用也越來(lái)越廣泛。隨之而來(lái)的就是 AI 智能體在相應(yīng)應(yīng)用場(chǎng)景獲取的權(quán)限也越來(lái)越多。

最近在刷視頻的時(shí)候都有彈幕感嘆，智能助手的權(quán)限真的高。

尤其是在 AI 已經(jīng)落地應(yīng)用的殺手锏能力 —— 編程領(lǐng)域里，智能體幾乎獲取了用戶設(shè)備中文件全部的讀寫(xiě)權(quán)限。這方面的風(fēng)險(xiǎn)不言自明。就像我們過(guò)去報(bào)道過(guò)的 Replit「刪庫(kù)」事件。

「刪庫(kù)」事件是 AI 智能體本身的翻車，大眾的目光似乎總是被 AI 模型自身的能力缺陷造成的風(fēng)險(xiǎn)吸引了注意，但卻似乎忽視了更大的外部風(fēng)險(xiǎn)。

你設(shè)備里的 AI 智能體很可能被利用來(lái)攻擊你。

這并非危言聳聽(tīng)，就在 UTC 時(shí)間 26 日晚約 10 點(diǎn) 32 分，這類的惡意程序已經(jīng)出現(xiàn)，并且影響了成千上萬(wàn)的開(kāi)發(fā)者。

首次利用 AI 工具攻擊的惡意軟件

2025 年 8 月 26 日晚上約 10 點(diǎn) 32 分（UTC），廣受歡迎的 Nx 構(gòu)建系統(tǒng)（Nx build system） 軟件包遭到入侵，被植入了竊取數(shù)據(jù)的惡意程序。這些帶有后門的版本僅在網(wǎng)絡(luò)上存活了 5 個(gè)多小時(shí) 就被下架，但在這短暫的時(shí)間里，成千上萬(wàn)的開(kāi)發(fā)者可能已經(jīng)受到影響。

這是首次記錄的惡意軟件利用 AI CLI 工具進(jìn)行偵察和數(shù)據(jù)竊取的案例。

這次的惡意代碼不只是竊取 SSH 密鑰、npm 令牌、.gitconfig 文件。

它更進(jìn)一步，將開(kāi)發(fā)者常用的 AI 命令行工具（CLI）武器化，包括 Claude、Gemini 和 q。這些 AI 工具被劫持，用來(lái)做信息獲取和數(shù)據(jù)外傳。這是已知的首個(gè)案例：黑客把開(kāi)發(fā)者的 AI 智能體變成了攻擊的幫兇。

由于 Nx 生態(tài)系統(tǒng)本身非常流行，再加上 AI 工具濫用的現(xiàn)象，這次事件凸顯了黑客攻擊的嚴(yán)重性。所有安裝過(guò)受污染版本的用戶，都必須立即采取補(bǔ)救措施。目前，nx 團(tuán)隊(duì)已經(jīng)發(fā)布了官方安全通告（編號(hào) GHSA-cxm3-wv7p-598c），確認(rèn)了這次入侵，并披露更多細(xì)節(jié)。公告證實(shí)：攻擊源于一名維護(hù)者的 npm 賬號(hào)令牌泄露，黑客借此控制了發(fā)布權(quán)限。

事件時(shí)間線（UTC 時(shí)間）

這場(chǎng)攻擊在數(shù)小時(shí)內(nèi)迅速展開(kāi)：

• 10:32 PM —— 惡意版本 21.5.0 發(fā)布到 npm 倉(cāng)庫(kù)
• 10:39 PM —— 惡意版本 20.9.0 發(fā)布
• 11:54 PM —— 黑客同時(shí)發(fā)布 20.10.0 和 21.6.0 兩個(gè)帶毒版本
• 8 月 27 日 12:16 AM —— 惡意版本 20.11.0 發(fā)布
• 12:17 AM —— 僅一分鐘后，又發(fā)布惡意版本 21.7.0
• 12:30 AM —— 一名社區(qū)成員在 GitHub 提交 issue，提醒 nx 團(tuán)隊(duì)發(fā)現(xiàn)可疑行為
• 12:37 AM —— 最后兩個(gè)惡意版本 21.8.0 和 20.12.0 被發(fā)布
• 02:44 AM —— npm 官方采取行動(dòng)，移除所有受影響版本
• 03:52 AM —— nx 組織所有者吊銷被盜的維護(hù)者賬號(hào)，阻止進(jìn)一步的惡意發(fā)布
• 09:05 AM —— GitHub 限制了被竊取機(jī)密信息的倉(cāng)庫(kù)，將其設(shè)為私有并從搜索結(jié)果中移除
• 10:20 AM —— npm 進(jìn)一步清理，移除了更多受影響的相關(guān)軟件包版本
• 03:57 PM —— npm 啟用新的安全措施，覆蓋所有 Nx 包

整場(chǎng)攻擊持續(xù)了約5 小時(shí) 20 分鐘，黑客在兩個(gè)主要版本分支中一共發(fā)布了8 個(gè)惡意版本

這次事件不僅是供應(yīng)鏈安全的一次重大警示，更是首次揭示：AI 開(kāi)發(fā)助手也可能被黑客「反向利用」，成為攻擊鏈條的一環(huán)。

本次惡意攻擊的技術(shù)分析

這次被入侵的 Nx 軟件包，每周有超過(guò) 400 萬(wàn)次下載。黑客在其中植入了一個(gè)惡意的 post-install hook。

每當(dāng)開(kāi)發(fā)者安裝這個(gè)包時(shí)，它就會(huì)自動(dòng)運(yùn)行一個(gè)叫 telemetry.js 的腳本。這個(gè)腳本幾乎是「秒觸發(fā)」，為攻擊者打開(kāi)了進(jìn)入開(kāi)發(fā)者電腦的大門 —— 并且是大規(guī)模同時(shí)發(fā)生的。

一旦腳本運(yùn)行，它會(huì)系統(tǒng)化地搜集受害電腦上的敏感信息

• 系統(tǒng)信息：環(huán)境變量（process.env）、主機(jī)名和操作系統(tǒng)細(xì)節(jié)以及平臺(tái)信息；
• 加密貨幣錢包：MetaMask 密鑰庫(kù)、Electrum 錢包、Ledger 與 Trezor 硬件錢包數(shù)據(jù)、Exodus、Phantom 和 Solflare 錢包以及通用的密鑰文件（例如 UTC–*、keystore.json、*.key）；

收集到信息后，惡意程序會(huì)執(zhí)行一套「隱蔽又高效」的外傳步驟

• 使用竊取的 GitHub 令牌，自動(dòng)創(chuàng)建一個(gè)名為 s1ngularity-repository 的公共 GitHub 倉(cāng)庫(kù)。部分變種還會(huì)在名字后面加上 「-0」、「-1」 等數(shù)字后綴。
• 將所有收集到的數(shù)據(jù) 進(jìn)行三次 編碼（triple- encode）。
• 把結(jié)果寫(xiě)入一個(gè)名為 results.b64 的文件，并上傳到新建倉(cāng)庫(kù)。
• 把倉(cāng)庫(kù)設(shè)為 公開(kāi)狀態(tài)，間接讓敏感數(shù)據(jù)暴露在互聯(lián)網(wǎng)上。

黑客不僅要竊取數(shù)據(jù)，還要制造混亂

• 在～/.bashrc 和～/.zshrc 文件末尾，惡意程序會(huì)添加命令：sudo shutdown -h 0
• 這樣一來(lái)，每次用戶新開(kāi)一個(gè)終端，系統(tǒng)就會(huì)嘗試立即關(guān)機(jī)。
• 結(jié)果就是造成了一種 拒絕服務(wù)（DoS） 的效果：開(kāi)發(fā)者的工作環(huán)境被徹底破壞。

對(duì)于此事件的更多信息，可以參閱原技術(shù)博客：

https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware#conclusion

AI 被黑客濫用的新趨勢(shì)

不僅是利用 AI 工具入侵用戶數(shù)，黑客們利用 AI 進(jìn)行惡意行為的現(xiàn)象已經(jīng)成為了一種新的趨勢(shì)。參照 Anthropic 八月份 AI 濫用報(bào)告，Claude 同樣也是被黑客濫用的重災(zāi)區(qū)。

博客鏈接：https://www.anthropic.com/news/detecting-countering-misuse-aug-2025

黑客用 Claude 擴(kuò)大勒索

犯罪分子利用 Claude Code 實(shí)施了大規(guī)模的數(shù)據(jù)盜竊和勒索。受害對(duì)象至少包括 17 家不同的機(jī)構(gòu)，涵蓋醫(yī)療、應(yīng)急服務(wù)、政府部門，甚至宗教組織。

與傳統(tǒng)勒索軟件不同，這名黑客并沒(méi)有加密數(shù)據(jù)，而是直接威脅：如果不給錢，就把敏感信息公之于眾。在一些案例中，勒索金額高達(dá) 50 萬(wàn)美元。

在此次勒索行動(dòng)中，Claude 被用到了前所未有的程度：

• Claude Code自動(dòng)化了大量偵查任務(wù)，幫助黑客竊取受害者憑證并滲透網(wǎng)絡(luò)。
• Claude 不只是執(zhí)行命令，還能做出戰(zhàn)術(shù)與戰(zhàn)略層面的決策，比如選擇竊取哪些數(shù)據(jù)、如何撰寫(xiě)勒索信息。
• 它會(huì)分析被盜的財(cái)務(wù)數(shù)據(jù)，自動(dòng)推算合理的勒索金額
• 它甚至還能生成視覺(jué)上極具沖擊力的勒索通知，直接顯示在受害者電腦上，制造心理壓力。

Anthropic 把這種行為稱為「氛圍黑客（vibe hacking）」。

犯罪分子售賣 AI 生成的勒索軟件

另一名網(wǎng)絡(luò)犯罪分子則把 Claude 當(dāng)作「勒索軟件工廠」。他們利用 Claude 開(kāi)發(fā)、打包并推向市場(chǎng)了多個(gè)版本的勒索軟件。

完成后，黑客將這些「勒索軟件即服務(wù)（RaaS）」發(fā)布在網(wǎng)絡(luò)論壇上出售，價(jià)格在 400 美元到 1200 美元 不等。換句話說(shuō)，即便沒(méi)有多少技術(shù)能力的人，也能花錢買到一款現(xiàn)成的 AI 生成勒索工具。

2025 年 1 月，網(wǎng)絡(luò)犯罪分子在暗網(wǎng)上的首次銷售廣告

全球首個(gè)已知的 AI 驅(qū)動(dòng)勒索軟件

ESET Research 最近發(fā)現(xiàn)了全球首個(gè)已知的 AI 驅(qū)動(dòng)勒索軟件，并將其命名為 PromptLock。

這種惡意軟件的獨(dú)特之處在于，它并非使用傳統(tǒng)硬編碼邏輯，而是依賴 AI 模型動(dòng)態(tài)生成攻擊腳本。

PromptLock 并不依賴傳統(tǒng)的固定惡意代碼，而是通過(guò) Ollama API在本地調(diào)用 gpt-oss-20b 模型，由攻擊者預(yù)先寫(xiě)入的提示詞即時(shí)生成惡意 Lua 腳本并立即執(zhí)行。

這些腳本具備跨平臺(tái)特性，可以在 Windows、Linux 和 macOS 上無(wú)縫運(yùn)行。

研究人員指出，多項(xiàng)跡象表明 PromptLock 更像是一個(gè) 概念驗(yàn)證（PoC） 或仍在開(kāi)發(fā)中的實(shí)驗(yàn)樣本，而非已經(jīng)廣泛部署的成熟勒索軟件。

更令人關(guān)注的是，PromptLock 并不會(huì)把體量巨大的模型直接下載到受害者設(shè)備上，而是通過(guò)在受害網(wǎng)絡(luò)中建立 代理，將請(qǐng)求轉(zhuǎn)發(fā)至遠(yuǎn)程服務(wù)器上運(yùn)行的 Ollama API + gpt-oss-20b 模型，這種方式屬于 MITRE ATT&CK 框架中的內(nèi)部代理技術(shù)，也是現(xiàn)代網(wǎng)絡(luò)攻擊中愈發(fā)常見(jiàn)的手段。

總結(jié)

隨著 AI 能力不斷增強(qiáng)，黑客和詐騙分子也在不斷「升級(jí)」手法。智能體型 AI 已被用作武器，直接參與并執(zhí)行復(fù)雜的網(wǎng)絡(luò)攻擊。

同時(shí)，AI 大幅降低了作案門檻，讓本該需要復(fù)雜知識(shí)體系黑客技能，變成任何人都能借助 AI 輕松完成的操作。

更嚴(yán)重的是，AI 已經(jīng)滲透進(jìn)網(wǎng)絡(luò)犯罪的整個(gè)流程：從鎖定受害者、分析被盜數(shù)據(jù)、竊取信用卡信息，到偽造身份、擴(kuò)大詐騙規(guī)模，AI 正在成為黑客的全鏈路「幫兇」。

這或許意味著未來(lái)的惡意軟件可能更加靈活、難以預(yù)測(cè)，也更難以防御。