大模型发展到现在,大家的设备上基本都有AI大模型工具了吧。
随着多模态、交互、编码等各项能力的进化,AI智能体的应用也越来越广泛。随之而来的就是AI智能体在相应应用场景获取的权限也越来越多。
最近在刷视频的时候都有弹幕感叹,智能助手的权限真的高。
尤其是在AI已经落地应用的杀手锏能力——编程领域里,智能体几乎获取了用户设备中文件全部的读写权限。这方面的风险不言自明。就像我们过去报道过的Replit「删库」事件。
「删库」事件是AI智能体本身的翻车,大众的目光似乎总是被AI模型自身的能力缺陷造成的风险吸引了注意,但却似乎忽视了更大的外部风险。
你设备里的AI智能体很可能被利用来攻击你。
这并非危言耸听,就在UTC时间26日晚约10点32分,这类的恶意程序已经出现,并且影响了成千上万的开发者。
首次利用AI工具攻击的恶意软件
2025年8月26日晚上约10点32分(UTC),广受欢迎的Nx构建系统(Nxbuildsystem)软件包遭到入侵,被植入了窃取数据的恶意程序。这些带有后门的版本仅在网络上存活了5个多小时就被下架,但在这短暂的时间里,成千上万的开发者可能已经受到影响。
这是首次记录的恶意软件利用AICLI工具进行侦察和数据窃取的案例。
这次的恶意代码不只是窃取SSH密钥、npm令牌、.gitconfig文件。
它更进一步,将开发者常用的AI命令行工具(CLI)武器化,包括Claude、Gemini和q。这些AI工具被劫持,用来做信息获取和数据外传。这是已知的首个案例:黑客把开发者的AI智能体变成了攻击的帮凶。
由于Nx生态系统本身非常流行,再加上AI工具滥用的现象,这次事件凸显了黑客攻击的严重性。所有安装过受污染版本的用户,都必须立即采取补救措施。目前,nx团队已经发布了官方安全通告(编号GHSA-cxm3-wv7p-598c),确认了这次入侵,并披露更多细节。公告证实:攻击源于一名维护者的npm账号令牌泄露,黑客借此控制了发布权限。
事件时间线(UTC时间)
这场攻击在数小时内迅速展开:
10:32PM——恶意版本21.5.0发布到npm仓库
10:39PM——恶意版本20.9.0发布
11:54PM——黑客同时发布20.10.0和21.6.0两个带毒版本
8月27日12:16AM——恶意版本20.11.0发布
12:17AM——仅一分钟后,又发布恶意版本21.7.0
12:30AM——一名社区成员在GitHub提交issue,提醒nx团队发现可疑行为
12:37AM——最后两个恶意版本21.8.0和20.12.0被发布
02:44AM——npm官方采取行动,移除所有受影响版本
03:52AM——nx组织所有者吊销被盗的维护者账号,阻止进一步的恶意发布
09:05AM——GitHub限制了被窃取机密信息的仓库,将其设为私有并从搜索结果中移除
10:20AM——npm进一步清理,移除了更多受影响的相关软件包版本
03:57PM——npm启用新的安全措施,覆盖所有Nx包
整场攻击持续了约5小时20分钟,黑客在两个主要版本分支中一共发布了8个恶意版本。
这次事件不仅是供应链安全的一次重大警示,更是首次揭示:AI开发助手也可能被黑客「反向利用」,成为攻击链条的一环。
本次恶意攻击的技术分析
这次被入侵的Nx软件包,每周有超过400万次下载。黑客在其中植入了一个恶意的post-installhook。
每当开发者安装这个包时,它就会自动运行一个叫telemetry.js的脚本。这个脚本几乎是「秒触发」,为攻击者打开了进入开发者电脑的大门——并且是大规模同时发生的。
一旦脚本运行,它会系统化地搜集受害电脑上的敏感信息:
系统信息:环境变量(process.env)、主机名和操作系统细节以及平台信息;
加密货币钱包:MetaMask密钥库、Electrum钱包、Ledger与Trezor硬件钱包数据、Exodus、Phantom和Solflare钱包以及通用的密钥文件(例如UTC–*、keystore.json、*.key);
收集到信息后,恶意程序会执行一套「隐蔽又高效」的外传步骤:
使用窃取的GitHub令牌,自动创建一个名为s1ngularity-repository的公共GitHub仓库。部分变种还会在名字后面加上「-0」、「-1」等数字后缀。
将所有收集到的数据进行三次Base64编码(triple-base64encode)。
把结果写入一个名为results.b64的文件,并上传到新建仓库。
把仓库设为公开状态,间接让敏感数据暴露在互联网上。
黑客不仅要窃取数据,还要制造混乱:
在~/.bashrc和~/.zshrc文件末尾,恶意程序会添加命令:sudoshutdown-h0
这样一来,每次用户新开一个终端,系统就会尝试立即关机。
结果就是造成了一种拒绝服务(DoS)的效果:开发者的工作环境被彻底破坏。
对于此事件的更多信息,可以参阅原技术博客:
https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware#conclusion
AI被黑客滥用的新趋势
不仅是利用AI工具入侵用户数,黑客们利用AI进行恶意行为的现象已经成为了一种新的趋势。参照Anthropic八月份AI滥用报告,Claude同样也是被黑客滥用的重灾区。
博客链接:https://www.anthropic.com/news/detecting-countering-misuse-aug-2025
黑客用Claude扩大勒索
犯罪分子利用ClaudeCode实施了大规模的数据盗窃和勒索。受害对象至少包括17家不同的机构,涵盖医疗、应急服务、**部门,甚至宗教组织。
与传统勒索软件不同,这名黑客并没有加密数据,而是直接威胁:如果不给钱,就把敏感信息公之于众。在一些案例中,勒索金额高达50万美元。
在此次勒索行动中,Claude被用到了前所未有的程度:
ClaudeCode自动化了大量侦查任务,帮助黑客窃取受害者凭证并渗透网络。
Claude不只是执行命令,还能做出战术与战略层面的决策,比如选择窃取哪些数据、如何撰写勒索信息。
它会分析被盗的财务数据,自动推算合理的勒索金额。
它甚至还能生成视觉上极具冲击力的勒索通知,直接显示在受害者电脑上,制造心理压力。
Anthropic把这种行为称为「氛围黑客(vibehacking)」。
犯罪分子售卖AI生成的勒索软件
另一名网络犯罪分子则把Claude当作「勒索软件工厂」。他们利用Claude开发、打包并推向市场了多个版本的勒索软件。
完成后,黑客将这些「勒索软件即服务(RaaS)」发布在网络论坛上出售,价格在400美元到1200美元不等。换句话说,即便没有多少技术能力的人,也能花钱买到一款现成的AI生成勒索工具。
2025年1月,网络犯罪分子在暗网上的首次销售广告
全球首个已知的AI驱动勒索软件
ESETResearch最近发现了全球首个已知的AI驱动勒索软件,并将其命名为PromptLock。
这种恶意软件的独特之处在于,它并非使用传统硬编码逻辑,而是依赖AI模型动态生成攻击脚本。
PromptLock并不依赖传统的固定恶意代码,而是通过OllamaAPI在本地调用gpt-oss-20b模型,由攻击者预先写入的提示词即时生成恶意Lua脚本并立即执行。
这些脚本具备跨平台特性,可以在Windows、Linux和macOS上无缝运行。
研究人员指出,多项迹象表明PromptLock更像是一个概念验证(PoC)或仍在开发中的实验样本,而非已经广泛部署的成熟勒索软件。
更令人关注的是,PromptLock并不会把体量巨大的模型直接下载到受害者设备上,而是通过在受害网络中建立代理,将请求转发至远程服务器上运行的OllamaAPI+gpt-oss-20b模型,这种方式属于MITREATT&CK框架中的内部代理技术,也是现代网络攻击中愈发常见的手段。
总结
随着AI能力不断增强,黑客和诈骗分子也在不断「升级」手法。智能体型AI已被用作武器,直接参与并执行复杂的网络攻击。
同时,AI大幅降低了作案门槛,让本该需要复杂知识体系黑客技能,变成任何人都能借助AI轻松完成的操作。
更严重的是,AI已经渗透进网络犯罪的整个流程:从锁定受害者、分析被盗数据、窃取信用卡信息,到伪造身份、扩大诈骗规模,AI正在成为黑客的全链路「帮凶」。
这或许意味着未来的恶意软件可能更加灵活、难以预测,也更难以防御。
