微软商店现"幽灵应用"：后台截图录屏还传北京

一个号称连接"人工智能原生世界"的应用，安装后却在后台偷偷截屏、录音、读取剪贴板——更诡异的是，它的数字签名来自微软研究员，代码却托管在空壳仓库里。

自动启动的"静默监控器"

安全研究员凯文·博蒙特（Kevin Beaumont）发现，这款名为Vibing.exe的应用一旦安装，会把自己配置成开机自启动。用户登录Windows的瞬间，监控就开始了。

它的通信方式很讲究：用WebSocket（一种网络通信协议）连接预配置的Azure Front Door节点。这种协议能绕过部分代理拦截，让流量更难被企业防火墙察觉。

传什么数据？截图、麦克风音频、剪贴板内容——全部打上唯一硬件标识符（GUID）。这意味着开发者不仅能知道"有人"在做什么，还能精确追踪"这台机器"的长期行为轨迹。

最讽刺的是，应用界面和文档里只字未提这些功能。

"开源社区项目"的谎言

Vibing-Team对外宣称这是社区共建的开源工具。但开源情报（OSINT）调查指向了另一个方向：微软北京的人工智能研究实验室。

GitHub仓库暴露了破绽。所谓开源仓库里没有源代码，只有一个80MB的二进制可执行文件。数字签名显示，文件由微软研究员张瑶瑶（Yaoyao Chang）通过SSL.com联合签署。

三个关键证据链让"社区项目"的说法站不住脚：

• 代码签名证书归属微软员工

• 基础设施指向微软北京GenAI实验室

• 应用通过微软商店分发，却绕过了内部治理流程

伪装成社区驱动，似乎成了规避微软隐私与安全审查的捷径。

安全社区的追问与沉默

博蒙特在DoublePulsar平台指出，这款应用暴露了巨大的攻击面，且运作方式"令人不安地不透明"。

企业安全团队需要警惕的具体风险包括：未经明确同意的持续性屏幕捕获、音频监控、剪贴板数据外传，以及基于硬件ID的跨会话用户追踪。

开发者社区已经开始行动。有人在GitHub上直接@涉事微软员工，试图获得回应。被标记的人要么无视，要么突然关闭议题（issue），没有留下任何解释。

截至发稿，微软官方仍未正式回应。

技术细节：如何识别

威胁猎人应在环境中排查以下特征：

• 进程名：vibing.exe、Vibing Installer.exe

• 网络指标：vibing-api-ccegdhbrg2d6bsd7.b02.azurefd.net

这款应用的存在提出了一个尖锐问题：当官方应用商店里的签名软件开始行为像恶意程序，边界在哪里？企业终端防护的假设——"商店应用=可信"——正在失效。

更值得玩味的是数据流向的设计。截图和录音传向Azure基础设施，硬件GUID实现长期关联，WebSocket规避代理检测——每一步都经过工程化考量，而非粗糙的恶意软件手法。这种"精致"本身，比粗糙的入侵更令人不安。