當(dāng)前,AI 正在從聊天助手進(jìn)化成行動(dòng)助手。它能幫我們搜索資料、下載軟件、運(yùn)行命令、操作文件,甚至管理賬號(hào)和郵箱。很多原本需要手動(dòng)完成的任務(wù),現(xiàn)在只要一句話,AI 就能自動(dòng)執(zhí)行。
但很多人沒(méi)有意識(shí)到一個(gè)問(wèn)題:當(dāng) AI 不再只是“說(shuō)”,而是開(kāi)始“做”的時(shí)候,一旦它做了錯(cuò)誤的事,后果可能比“說(shuō)錯(cuò)話”嚴(yán)重得多。
今年,已經(jīng)有開(kāi)發(fā)者在使用 AI 編程工具時(shí),電腦感染了 AMOS 竊密木馬,社交媒體賬號(hào)被接管。排查過(guò)程中,他發(fā)現(xiàn)了與 AI 工具相關(guān)的下載記錄,懷疑 AI 在執(zhí)行任務(wù)時(shí),從不安全的來(lái)源下載了惡意軟件。
![]()
開(kāi)發(fā)者疑似因AI工具下載感染木馬的相關(guān)記錄
這件事給我們提了一個(gè)醒:AI 本身不一定是病毒,但當(dāng)它具備聯(lián)網(wǎng)、下載、運(yùn)行程序的能力時(shí),一次判斷失誤就可能變成真實(shí)的安全事故。
從會(huì)說(shuō)話到會(huì)動(dòng)手,
AI 的風(fēng)險(xiǎn)邊界變了
過(guò)去的 AI 主要負(fù)責(zé)回答問(wèn)題。我們問(wèn)它什么,它就說(shuō)什么,答錯(cuò)了通常還需要我們自己判斷是否采納。風(fēng)險(xiǎn)最多停留在信息不準(zhǔn)確。
現(xiàn)在的 AIAgent 已經(jīng)不同了。以 ClaudeCode、Cursor、OpenClaw 等工具為代表,它們可以直接:
- 搜索和下載軟件
- 運(yùn)行終端命令
- 讀取和修改文件
- 操作瀏覽器和賬號(hào)
- 調(diào)用插件及外部工具
換句話說(shuō),AI 的風(fēng)險(xiǎn)已經(jīng)從“說(shuō)錯(cuò)了”,變成了“做錯(cuò)了”。
MITSloan 與波士頓咨詢(xún)公司(BCG)的調(diào)研指出[1],傳統(tǒng)聊天機(jī)器人主要是回答問(wèn)題,而現(xiàn)在的 AI 代理是能夠感知、推理并行動(dòng)的半自主系統(tǒng),可以在最少人工監(jiān)督下獨(dú)立完成任務(wù)。當(dāng) AI 開(kāi)始連接真實(shí)世界的軟件系統(tǒng),風(fēng)險(xiǎn)邊界也隨之?dāng)U展。
AI 如何放大中毒風(fēng)險(xiǎn)?
過(guò)去,電腦中毒通常是因?yàn)槲覀冏约狐c(diǎn)了不該點(diǎn)的鏈接、下載了來(lái)路不明的軟件。現(xiàn)在,AI 的加入讓這條攻擊鏈變得更短、更隱蔽。
1.新的下載入口
攻擊者不再只靠假安裝包這一種方式,而是把惡意下載鋪到了搜索結(jié)果、共享 AI 對(duì)話、假文檔頁(yè)面、廣告投放、第三方托管站上。
2025 年 12 月,安全公司 Huntress 披露了一起事件[2]:受害者在 Google 搜索 macOS 清理工具時(shí),點(diǎn)擊了排在前列的 ChatGPT 共享對(duì)話鏈接,并按其中的終端命令執(zhí)行,最終感染了 AMOS 木馬。整條鏈路沒(méi)有惡意下載頁(yè)、沒(méi)有傳統(tǒng)安裝器,看上去就像一次普通的搜索、復(fù)制、粘貼。
2026 年 3 月,Bitdefender 發(fā)現(xiàn)有攻擊者通過(guò) GoogleAds 冒充 ClaudeCode 官方,把用戶(hù)引到仿真安裝文檔頁(yè),誘導(dǎo)執(zhí)行惡意程序
[3]。更夸張的是,安全公司 Straiker 在 2026 年 5 月披露,攻擊者已經(jīng)搭建了至少 88 個(gè)域名,集中冒充 ClaudeCode、JetBrains、NotebookLM 等 AI 開(kāi)發(fā)工具[4]。
![]()
圖庫(kù)版權(quán)圖片,轉(zhuǎn)載使用可能引發(fā)版權(quán)糾紛
2.自動(dòng)執(zhí)行鏈被壓縮
過(guò)去,下載一個(gè)文件、解壓、安裝、運(yùn)行,每一步都需要人工操作,中間有無(wú)數(shù)次剎車(chē)的機(jī)會(huì)。現(xiàn)在,AI 可以連續(xù)完成整個(gè)流程。
2026 年 4 月,安全公司 FieldEffect 披露了一起事件[5]:Cursor 編程工具中的 ClaudeCode 直接執(zhí)行了惡意且高度混淆的 AppleScript 命令,依次完成了下載、賦權(quán)、運(yùn)行偽裝成更新組件的文件,最終觸發(fā) AMOS 竊密木馬。整個(gè)過(guò)程由 AI 代理自動(dòng)完成,從遙測(cè)數(shù)據(jù)上看,這些行為和正常的編程活動(dòng)高度相似,極難識(shí)別。
更早的案例中,微軟在 2026 年 6 月披露了一種名為 AutoJack 的攻擊方式[6]:哪怕用戶(hù)只是讓 AI 總結(jié)一個(gè)網(wǎng)頁(yè),惡意網(wǎng)頁(yè)也可能借由本地控制面觸發(fā)電腦執(zhí)行任意命令。
3.工具鏈暗藏后門(mén)
傳統(tǒng)軟件依賴(lài)投毒已經(jīng)夠麻煩了,AI 生態(tài)又增加了插件、MCP 服務(wù)器、技能市場(chǎng)等新的攻擊面。
云安全聯(lián)盟(CloudSecurityAlliance)明確警告,開(kāi)放式 AI 模型倉(cāng)庫(kù)和技能倉(cāng)庫(kù)已經(jīng)成為現(xiàn)實(shí)中的惡意軟件分發(fā)渠道。OWASP 的報(bào)告直接把技能視為 AI 代理產(chǎn)生現(xiàn)實(shí)影響的執(zhí)行層,強(qiáng)調(diào)要只安裝已驗(yàn)證發(fā)布者、開(kāi)啟自動(dòng)掃描、審批安裝、版本固定、運(yùn)行隔離與審計(jì)[7]。
2026 年,安全公司 Snyk 發(fā)現(xiàn)了一個(gè)惡意 npm 包,它會(huì)主動(dòng)調(diào)用電腦上的 ClaudeCode、GeminiCLI 等 AI 工具,并帶上跳過(guò)權(quán)限確認(rèn)、信任所有工具之類(lèi)的危險(xiǎn)標(biāo)志,讓 AI 代為搜索錢(qián)包痕跡、SSH 密鑰、環(huán)境變量等高價(jià)值目標(biāo)[8]。
4.權(quán)限把損失成倍放大
AMOS 不是簡(jiǎn)單的彈廣告木馬。安全公司記錄到它會(huì)收集瀏覽器保存的密碼、Cookie、自動(dòng)填充數(shù)據(jù)、會(huì)話令牌、鑰匙串?dāng)?shù)據(jù)和加密錢(qián)包信息。
更危險(xiǎn)的是,一旦會(huì)話 Cookie 被竊取,攻擊者往往無(wú)需密碼就能繼續(xù)訪問(wèn)賬戶(hù)。這意味著即使我們改了密碼,如果會(huì)話沒(méi)有被撤銷(xiāo),攻擊者仍然可以長(zhǎng)驅(qū)直入。
當(dāng) AI 長(zhǎng)期運(yùn)行在管理員權(quán)限、主瀏覽器已登錄狀態(tài)、主密碼庫(kù)旁邊時(shí),一旦被攻破,損失的就是整個(gè)數(shù)字身份。
5.木馬反過(guò)來(lái)利用 AI
攻擊者也在學(xué)習(xí)利用 AI。OpenAI 在 2025 年 10 月的威脅報(bào)告中披露[9],被封禁的賬戶(hù)曾用模型生成釣魚(yú)內(nèi)容、輔助腳本編寫(xiě)和研究惡意操作。雖然目前看到的更多是把 AI 裝到舊劇本上提速,而非憑空獲得全新攻擊能力,但這種趨勢(shì)值得關(guān)注。
上面提到的惡意 npm 包就是一個(gè)例子:它不僅自己作惡,還調(diào)用AI工具來(lái)擴(kuò)大戰(zhàn)果,讓攻擊變得更加自動(dòng)化和智能化。
![]()
圖庫(kù)版權(quán)圖片,轉(zhuǎn)載使用可能引發(fā)版權(quán)糾紛
一次攻擊可能怎樣發(fā)生?
讓我們把上面的風(fēng)險(xiǎn)串起來(lái),看看一次完整的攻擊可能長(zhǎng)什么樣:
我們讓 AI 幫忙安裝一個(gè)開(kāi)發(fā)工具 → AI 搜索到一個(gè)看起來(lái)很像官網(wǎng)的頁(yè)面(實(shí)際上是攻擊者搭建的假站) → AI 自動(dòng)下載了安裝包 → AI 跳過(guò)了權(quán)限確認(rèn),直接運(yùn)行 → 惡意程序植入系統(tǒng) → 后臺(tái)悄悄收集密碼、Cookie、Token → 攻擊者接管我們的賬號(hào)、郵箱、甚至錢(qián)包
整個(gè)過(guò)程可能只需要幾分鐘,而我們可能完全不知情。
![]()
AI輔助攻擊鏈?zhǔn)疽鈭D
為什么這類(lèi)風(fēng)險(xiǎn)更難發(fā)現(xiàn)?
傳統(tǒng)的電腦中毒,我們通常能找到一個(gè)可疑文件或異常彈窗。但 AI 參與的攻擊鏈,隱蔽性要高得多。
1.操作速度快,高度自動(dòng)化
從搜索到下載到執(zhí)行,整個(gè)過(guò)程可能在幾秒內(nèi)完成,我們根本沒(méi)有反應(yīng)的時(shí)間。
2.危險(xiǎn)操作混入正常任務(wù)
AI 編程工具本來(lái)就會(huì)頻繁執(zhí)行命令、下載文件、訪問(wèn)網(wǎng)絡(luò),惡意行為很容易隱藏在正常的操作流程中。FieldEffect 的報(bào)告明確指出,惡意命令由 AI 代理直接執(zhí)行,從監(jiān)控?cái)?shù)據(jù)上看和普通編程活動(dòng)高度相似。
3.用戶(hù)容易因頻繁提示而開(kāi)啟 bypass 模式
每次操作都要確認(rèn),確實(shí)很煩。很多用戶(hù)為了效率,會(huì)選擇關(guān)閉權(quán)限確認(rèn),讓 AI 自動(dòng)執(zhí)行一切。但這等于把最后的安全閥門(mén)也打開(kāi)了。
4.AI 無(wú)法穩(wěn)定判斷軟件來(lái)源是否可信
不同模型的表現(xiàn)差異很大。安全公司 TrendMicro 的研究發(fā)現(xiàn),Claude 能把可疑技能識(shí)別出來(lái),但 GPT-4o 在同樣場(chǎng)景下可能直接安裝,或者持續(xù)提示用戶(hù)手動(dòng)安裝。即使是最先進(jìn)的模型,面對(duì)精心偽裝的惡意內(nèi)容,也無(wú)法保證每次都做出正確判斷。
普通人如何防范?
說(shuō)了這么多風(fēng)險(xiǎn),我們普通人能做什么?記住一個(gè)核心原則:把 AI 當(dāng)成一個(gè)能力強(qiáng)、但判斷力不穩(wěn)定的助手,而不是絕對(duì)可靠的專(zhuān)家。
具體來(lái)說(shuō),六條建議:
1.不要長(zhǎng)期開(kāi)啟 bypass 模式
權(quán)限確認(rèn)雖然麻煩,但它是最后一道防線。讓下載、聯(lián)網(wǎng)、執(zhí)行、發(fā)信、刪除這些高后果動(dòng)作始終保留顯式確認(rèn),是最有效的安全習(xí)慣。
2.不要讓 AI 長(zhǎng)期擁有管理員權(quán)限
給 AI 完成任務(wù)所需的最小權(quán)限就夠了。不要讓它長(zhǎng)期工作在管理員賬戶(hù)、主瀏覽器已登錄狀態(tài)、主密碼庫(kù)旁邊。如果可能,為 AI 創(chuàng)建一個(gè)獨(dú)立的、權(quán)限受限的賬戶(hù)。
3.下載和運(yùn)行必須分開(kāi)確認(rèn)
真正危險(xiǎn)的命令,往往在于下載后立刻運(yùn)行。最笨但有效的規(guī)矩是:先確認(rèn)來(lái)源,再確認(rèn)內(nèi)容,再?zèng)Q定是否運(yùn)行。看到curl | bash這類(lèi)下載即執(zhí)行的命令,更要提高警惕。
![]()
圖庫(kù)版權(quán)圖片,轉(zhuǎn)載使用可能引發(fā)版權(quán)糾紛
4.限制 AI 接觸密碼、錢(qián)包和重要賬號(hào)
密碼、身份證號(hào)、銀行卡號(hào)、加密錢(qián)包、未公開(kāi)數(shù)據(jù)……這些信息不要隨手輸入 AI 工具。尤其是當(dāng) AI 開(kāi)啟了網(wǎng)頁(yè)搜索或連接了外部系統(tǒng)時(shí),更要謹(jǐn)慎。
5.謹(jǐn)慎安裝插件、MCP 服務(wù)和第三方工具
哪怕一個(gè)工具在官方目錄或 GitHub 上看起來(lái)很像真的,也不代表它值得直接接入我們的文件系統(tǒng)和賬號(hào)。只安裝已驗(yàn)證發(fā)布者的工具,查看評(píng)價(jià)和下載量,版本固定,運(yùn)行在隔離環(huán)境里。
6.使用獨(dú)立賬戶(hù)、沙箱或虛擬機(jī)
測(cè)試新工具、新技能、新安裝命令時(shí),用干凈賬戶(hù)和干凈環(huán)境,不要用日常主力設(shè)備直接試。Anthropic 的文檔特別提醒:即使在開(kāi)發(fā)容器里運(yùn)行,一旦跳過(guò)權(quán)限確認(rèn),容器里所有可訪問(wèn)內(nèi)容仍可能被惡意程序外傳。
7.懷疑感染后,處理范圍必須大于改密碼
如果懷疑電腦中毒,正確的處理順序是:
· 先斷網(wǎng),隔離可疑設(shè)備
· 用另一臺(tái)干凈設(shè)備改關(guān)鍵賬號(hào)密碼· 撤銷(xiāo)活躍會(huì)話、移除未知設(shè)備
· 輪換 API Key、SSH 密鑰、云 Token 和錢(qián)包相關(guān)密鑰
· 最后再?zèng)Q定是否重裝系統(tǒng)
只改密碼而不撤銷(xiāo)會(huì)話,往往不夠。攻擊者拿到的是通行證,不是密碼本身,改了密碼也不一定能把他踢出去。
結(jié)語(yǔ)
AI 的便利性,正在快速改變我們的工作和生活。但越是方便的工具,越需要清楚它的邊界。
AI 可以幫我們提高效率,但不能替代我們的判斷。把權(quán)限管住,把確認(rèn)權(quán)握在自己手里,把敏感數(shù)據(jù)隔離好,才是現(xiàn)階段更穩(wěn)妥的使用方式。
技術(shù)在進(jìn)步,風(fēng)險(xiǎn)也在進(jìn)化。保持警惕,才能讓 AI 真正為我們所用。
參考文獻(xiàn)
[1] Beth Stackpole. “Agentic AI, explained”. MIT Sloan Ideas Made to Matter, Feb 18, 2026. https://mitsloan.mit.edu/ideas-made-to-matter/agentic-ai-explained
[2] Stuart Ashenbrenner, Jonathan Semon. “AMOS Stealer Exploits AI Trust: Malware Delivered Through ChatGPT and Grok”. Huntress, Dec 9, 2025. https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust
[3] Ionut Alexandru BALTARIU, Silviu STAHIE. “Windows and macOS Malware Spreads via Fake ‘Claude Code’ Google Ads”. Bitdefender, Mar 11, 2026. https://www.bitdefender.com/en-gb/blog/labs/fake-claude-code-google-ads-malware
[4] Carl Vincent, Amanda Rousseau. “Fake Claude Code, Real Malware: Inside the Campaign Targeting AI Developers”. Straiker, May 27, 2026. https://www.straiker.ai/blog/acr-stealer-claude-code-impersonation-campaign
[5] Field Effect Threat Intelligence. “Malicious AppleScript executed via Claude Code agent in Cursor IDE”. Field Effect, Apr 24, 2026. https://fieldeffect.com/blog/malicious-applescript-executed-via-claude-code-agent-in-cursor-ide
[6] Microsoft Threat Intelligence. “AutoJack: Exposing local control surfaces in agentic web browsing”. Microsoft, Jun 18, 2026. https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-exposing-local-control-surfaces-in-agentic-web-browsing/
[7] OWASP. “Agentic Skills Top 10”. OWASP Foundation, 2026. https://owasp.org/www-project-agentic-skills-top-10/
[8] Snyk Security Research. “Weaponizing AI coding agents for malware in the Nx malicious package”. Snyk, 2026. https://snyk.io/blog/weaponizing-ai-coding-agents-for-malware-in-the-nx-malicious-package
[9] OpenAI Threat Intelligence. “Disrupting malicious uses of AI: an update”. OpenAI, Oct 8, 2025. https://openai.com/global-affairs/disrupting-malicious-uses-of-ai-october-2025/
策劃制作
作者丨田威 AI工具研究者
審核丨于乃功 北京工業(yè)大學(xué)教授 中國(guó)人工智能學(xué)會(huì)理事
策劃丨張林林
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶(hù)上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.