网易首页 > 网易号 > 正文 申请入驻

AI 越能干,安全风险为什么反而越大?(附防范方法)

0
分享至

当前,AI 正在从聊天助手进化成行动助手。它能帮我们搜索资料、下载软件、运行命令、操作文件,甚至管理账号和邮箱。很多原本需要手动完成的任务,现在只要一句话,AI 就能自动执行。

但很多人没有意识到一个问题:当 AI 不再只是“说”,而是开始“做”的时候,一旦它做了错误的事,后果可能比“说错话”严重得多。

今年,已经有开发者在使用 AI 编程工具时,电脑感染了 AMOS 窃密木马,社交媒体账号被接管。排查过程中,他发现了与 AI 工具相关的下载记录,怀疑 AI 在执行任务时,从不安全的来源下载了恶意软件。


开发者疑似因AI工具下载感染木马的相关记录

这件事给我们提了一个醒:AI 本身不一定是病毒,但当它具备联网、下载、运行程序的能力时,一次判断失误就可能变成真实的安全事故。

从会说话到会动手,

AI 的风险边界变了

过去的 AI 主要负责回答问题。我们问它什么,它就说什么,答错了通常还需要我们自己判断是否采纳。风险最多停留在信息不准确。

现在的 AIAgent 已经不同了。以 ClaudeCode、Cursor、OpenClaw 等工具为代表,它们可以直接:

  • 搜索和下载软件
  • 运行终端命令
  • 读取和修改文件
  • 操作浏览器和账号
  • 调用插件及外部工具

换句话说,AI 的风险已经从“说错了”,变成了“做错了”。

MITSloan 与波士顿咨询公司(BCG)的调研指出[1],传统聊天机器人主要是回答问题,而现在的 AI 代理是能够感知、推理并行动的半自主系统,可以在最少人工监督下独立完成任务。当 AI 开始连接真实世界的软件系统,风险边界也随之扩展。

AI 如何放大中毒风险?

过去,电脑中毒通常是因为我们自己点了不该点的链接、下载了来路不明的软件。现在,AI 的加入让这条攻击链变得更短、更隐蔽。

1.新的下载入口

攻击者不再只靠假安装包这一种方式,而是把恶意下载铺到了搜索结果、共享 AI 对话、假文档页面、广告投放、第三方托管站上。

2025 年 12 月,安全公司 Huntress 披露了一起事件[2]:受害者在 Google 搜索 macOS 清理工具时,点击了排在前列的 ChatGPT 共享对话链接,并按其中的终端命令执行,最终感染了 AMOS 木马。整条链路没有恶意下载页、没有传统安装器,看上去就像一次普通的搜索、复制、粘贴。

2026 年 3 月,Bitdefender 发现有攻击者通过 GoogleAds 冒充 ClaudeCode 官方,把用户引到仿真安装文档页,诱导执行恶意程序
[3]。更夸张的是,安全公司 Straiker 在 2026 年 5 月披露,攻击者已经搭建了至少 88 个域名,集中冒充 ClaudeCode、JetBrains、NotebookLM 等 AI 开发工具[4]。


图库版权图片,转载使用可能引发版权纠纷

2.自动执行链被压缩

过去,下载一个文件、解压、安装、运行,每一步都需要人工操作,中间有无数次刹车的机会。现在,AI 可以连续完成整个流程。

2026 年 4 月,安全公司 FieldEffect 披露了一起事件[5]:Cursor 编程工具中的 ClaudeCode 直接执行了恶意且高度混淆的 AppleScript 命令,依次完成了下载、赋权、运行伪装成更新组件的文件,最终触发 AMOS 窃密木马。整个过程由 AI 代理自动完成,从遥测数据上看,这些行为和正常的编程活动高度相似,极难识别。

更早的案例中,微软在 2026 年 6 月披露了一种名为 AutoJack 的攻击方式[6]:哪怕用户只是让 AI 总结一个网页,恶意网页也可能借由本地控制面触发电脑执行任意命令。

3.工具链暗藏后门

传统软件依赖投毒已经够麻烦了,AI 生态又增加了插件、MCP 服务器、技能市场等新的攻击面。

云安全联盟(CloudSecurityAlliance)明确警告,开放式 AI 模型仓库和技能仓库已经成为现实中的恶意软件分发渠道。OWASP 的报告直接把技能视为 AI 代理产生现实影响的执行层,强调要只安装已验证发布者、开启自动扫描、审批安装、版本固定、运行隔离与审计[7]。

2026 年,安全公司 Snyk 发现了一个恶意 npm 包,它会主动调用电脑上的 ClaudeCode、GeminiCLI 等 AI 工具,并带上跳过权限确认、信任所有工具之类的危险标志,让 AI 代为搜索钱包痕迹、SSH 密钥、环境变量等高价值目标[8]。

4.权限把损失成倍放大

AMOS 不是简单的弹广告木马。安全公司记录到它会收集浏览器保存的密码、Cookie、自动填充数据、会话令牌、钥匙串数据和加密钱包信息。

更危险的是,一旦会话 Cookie 被窃取,攻击者往往无需密码就能继续访问账户。这意味着即使我们改了密码,如果会话没有被撤销,攻击者仍然可以长驱直入。

当 AI 长期运行在管理员权限、主浏览器已登录状态、主密码库旁边时,一旦被攻破,损失的就是整个数字身份。

5.木马反过来利用 AI

攻击者也在学习利用 AI。OpenAI 在 2025 年 10 月的威胁报告中披露[9],被封禁的账户曾用模型生成钓鱼内容、辅助脚本编写和研究恶意操作。虽然目前看到的更多是把 AI 装到旧剧本上提速,而非凭空获得全新攻击能力,但这种趋势值得关注。

上面提到的恶意 npm 包就是一个例子:它不仅自己作恶,还调用AI工具来扩大战果,让攻击变得更加自动化和智能化。


图库版权图片,转载使用可能引发版权纠纷

一次攻击可能怎样发生?

让我们把上面的风险串起来,看看一次完整的攻击可能长什么样:

我们让 AI 帮忙安装一个开发工具 → AI 搜索到一个看起来很像官网的页面(实际上是攻击者搭建的假站) → AI 自动下载了安装包 → AI 跳过了权限确认,直接运行 → 恶意程序植入系统 → 后台悄悄收集密码、Cookie、Token → 攻击者接管我们的账号、邮箱、甚至钱包

整个过程可能只需要几分钟,而我们可能完全不知情。


AI辅助攻击链示意图

为什么这类风险更难发现?

传统的电脑中毒,我们通常能找到一个可疑文件或异常弹窗。但 AI 参与的攻击链,隐蔽性要高得多。

1.操作速度快,高度自动化

从搜索到下载到执行,整个过程可能在几秒内完成,我们根本没有反应的时间。

2.危险操作混入正常任务

AI 编程工具本来就会频繁执行命令、下载文件、访问网络,恶意行为很容易隐藏在正常的操作流程中。FieldEffect 的报告明确指出,恶意命令由 AI 代理直接执行,从监控数据上看和普通编程活动高度相似。

3.用户容易因频繁提示而开启 bypass 模式

每次操作都要确认,确实很烦。很多用户为了效率,会选择关闭权限确认,让 AI 自动执行一切。但这等于把最后的安全阀门也打开了。

4.AI 无法稳定判断软件来源是否可信

不同模型的表现差异很大。安全公司 TrendMicro 的研究发现,Claude 能把可疑技能识别出来,但 GPT-4o 在同样场景下可能直接安装,或者持续提示用户手动安装。即使是最先进的模型,面对精心伪装的恶意内容,也无法保证每次都做出正确判断。

普通人如何防范?

说了这么多风险,我们普通人能做什么?记住一个核心原则:把 AI 当成一个能力强、但判断力不稳定的助手,而不是绝对可靠的专家。

具体来说,六条建议:

1.不要长期开启 bypass 模式

权限确认虽然麻烦,但它是最后一道防线。让下载、联网、执行、发信、删除这些高后果动作始终保留显式确认,是最有效的安全习惯。

2.不要让 AI 长期拥有管理员权限

给 AI 完成任务所需的最小权限就够了。不要让它长期工作在管理员账户、主浏览器已登录状态、主密码库旁边。如果可能,为 AI 创建一个独立的、权限受限的账户。

3.下载和运行必须分开确认

真正危险的命令,往往在于下载后立刻运行。最笨但有效的规矩是:先确认来源,再确认内容,再决定是否运行。看到curl | bash这类下载即执行的命令,更要提高警惕。


图库版权图片,转载使用可能引发版权纠纷

4.限制 AI 接触密码、钱包和重要账号

密码、身份证号、银行卡号、加密钱包、未公开数据……这些信息不要随手输入 AI 工具。尤其是当 AI 开启了网页搜索或连接了外部系统时,更要谨慎。

5.谨慎安装插件、MCP 服务和第三方工具

哪怕一个工具在官方目录或 GitHub 上看起来很像真的,也不代表它值得直接接入我们的文件系统和账号。只安装已验证发布者的工具,查看评价和下载量,版本固定,运行在隔离环境里。

6.使用独立账户、沙箱或虚拟机

测试新工具、新技能、新安装命令时,用干净账户和干净环境,不要用日常主力设备直接试。Anthropic 的文档特别提醒:即使在开发容器里运行,一旦跳过权限确认,容器里所有可访问内容仍可能被恶意程序外传。

7.怀疑感染后,处理范围必须大于改密码

如果怀疑电脑中毒,正确的处理顺序是:

· 先断网,隔离可疑设备

· 用另一台干净设备改关键账号密码· 撤销活跃会话、移除未知设备

· 轮换 API Key、SSH 密钥、云 Token 和钱包相关密钥

· 最后再决定是否重装系统

只改密码而不撤销会话,往往不够。攻击者拿到的是通行证,不是密码本身,改了密码也不一定能把他踢出去。

结语

AI 的便利性,正在快速改变我们的工作和生活。但越是方便的工具,越需要清楚它的边界。

AI 可以帮我们提高效率,但不能替代我们的判断。把权限管住,把确认权握在自己手里,把敏感数据隔离好,才是现阶段更稳妥的使用方式。

技术在进步,风险也在进化。保持警惕,才能让 AI 真正为我们所用。

参考文献

[1] Beth Stackpole. “Agentic AI, explained”. MIT Sloan Ideas Made to Matter, Feb 18, 2026. https://mitsloan.mit.edu/ideas-made-to-matter/agentic-ai-explained

[2] Stuart Ashenbrenner, Jonathan Semon. “AMOS Stealer Exploits AI Trust: Malware Delivered Through ChatGPT and Grok”. Huntress, Dec 9, 2025. https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust

[3] Ionut Alexandru BALTARIU, Silviu STAHIE. “Windows and macOS Malware Spreads via Fake ‘Claude Code’ Google Ads”. Bitdefender, Mar 11, 2026. https://www.bitdefender.com/en-gb/blog/labs/fake-claude-code-google-ads-malware

[4] Carl Vincent, Amanda Rousseau. “Fake Claude Code, Real Malware: Inside the Campaign Targeting AI Developers”. Straiker, May 27, 2026. https://www.straiker.ai/blog/acr-stealer-claude-code-impersonation-campaign

[5] Field Effect Threat Intelligence. “Malicious AppleScript executed via Claude Code agent in Cursor IDE”. Field Effect, Apr 24, 2026. https://fieldeffect.com/blog/malicious-applescript-executed-via-claude-code-agent-in-cursor-ide

[6] Microsoft Threat Intelligence. “AutoJack: Exposing local control surfaces in agentic web browsing”. Microsoft, Jun 18, 2026. https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-exposing-local-control-surfaces-in-agentic-web-browsing/

[7] OWASP. “Agentic Skills Top 10”. OWASP Foundation, 2026. https://owasp.org/www-project-agentic-skills-top-10/

[8] Snyk Security Research. “Weaponizing AI coding agents for malware in the Nx malicious package”. Snyk, 2026. https://snyk.io/blog/weaponizing-ai-coding-agents-for-malware-in-the-nx-malicious-package

[9] OpenAI Threat Intelligence. “Disrupting malicious uses of AI: an update”. OpenAI, Oct 8, 2025. https://openai.com/global-affairs/disrupting-malicious-uses-of-ai-october-2025/

策划制作

作者丨田威 AI工具研究者

审核丨于乃功 北京工业大学教授 中国人工智能学会理事

策划丨张林林

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
“只能靠前肢拖身子爬”,数千只小猫瘫痪!多数主人称吃伯纳天纯!山姆MM猫粮也被“点名”

“只能靠前肢拖身子爬”,数千只小猫瘫痪!多数主人称吃伯纳天纯!山姆MM猫粮也被“点名”

北京商报
2026-07-08 08:36:59
广东:支持广州、深圳、佛山、东莞等率先建成高附加值智算中心

广东:支持广州、深圳、佛山、东莞等率先建成高附加值智算中心

界面新闻
2026-07-08 20:04:37
日本人排大队抢购中国相机,很可能只是个开始……

日本人排大队抢购中国相机,很可能只是个开始……

补壹刀
2026-07-07 16:16:03
美国一37层高楼突发严重变形!或将坍塌成煎饼一样 周边紧急疏散,以领馆被迫撤离

美国一37层高楼突发严重变形!或将坍塌成煎饼一样 周边紧急疏散,以领馆被迫撤离

红星新闻
2026-07-08 16:01:01
从泄洪到溃口,广西横州洪灾实录:一个小时水涨了4米左右,养蛇场被冲毒蛇四散逃逸

从泄洪到溃口,广西横州洪灾实录:一个小时水涨了4米左右,养蛇场被冲毒蛇四散逃逸

网易新闻出品
2026-07-07 23:12:46
马来西亚限制进口中国电动汽车!

马来西亚限制进口中国电动汽车!

郑谊
2026-07-07 11:45:13
黑天鹅突袭!全球股市暴跌,黄金白银直线跳水,原油飙涨

黑天鹅突袭!全球股市暴跌,黄金白银直线跳水,原油飙涨

中国基金报
2026-07-08 19:44:03
世界杯八强共17名球员身背1张黄牌,再吃黄牌将无缘半决赛,其中英格兰4人、摩洛哥4人、法国2人,包括贝林厄姆、奥利塞、蒙铁尔

世界杯八强共17名球员身背1张黄牌,再吃黄牌将无缘半决赛,其中英格兰4人、摩洛哥4人、法国2人,包括贝林厄姆、奥利塞、蒙铁尔

大风新闻
2026-07-08 19:42:27
爆笑!28岁张雨霏模仿哈兰德 亲切称“哈宝”+道歉 网友:太像了

爆笑!28岁张雨霏模仿哈兰德 亲切称“哈宝”+道歉 网友:太像了

念洲
2026-07-08 18:17:52
以巴冲突中一个极丑陋、极双标的流氓逻辑

以巴冲突中一个极丑陋、极双标的流氓逻辑

壹家言
2026-07-07 10:06:01
埃及足协向国际足联正式提出申诉,要求调查对阿根廷比赛中的“严重误判”,将该主裁判及裁判组逐出本届世界杯;埃及头号球星未跟风批评

埃及足协向国际足联正式提出申诉,要求调查对阿根廷比赛中的“严重误判”,将该主裁判及裁判组逐出本届世界杯;埃及头号球星未跟风批评

极目新闻
2026-07-08 10:38:10
TA:欧洲足球统治世界杯,八强中有六支欧洲球队

TA:欧洲足球统治世界杯,八强中有六支欧洲球队

懂球帝
2026-07-08 20:41:10
美国宣布与日本韩国签协议,将合作部署小型模块化核反应堆

美国宣布与日本韩国签协议,将合作部署小型模块化核反应堆

风向观察
2026-07-08 07:47:52
国泰回应航班一度失联事件:机上人员安全,匈牙利战机曾升空截查

国泰回应航班一度失联事件:机上人员安全,匈牙利战机曾升空截查

21世纪经济报道
2026-07-08 20:54:10
我记住这位英年早逝的经济学家是因为他那句充满悲悯和伤感的话..

我记住这位英年早逝的经济学家是因为他那句充满悲悯和伤感的话..

细雨中的呼喊
2026-07-08 13:30:56
广西水灾、四川地震,湖北龙卷风,“正能量大V”们集体沉默了

广西水灾、四川地震,湖北龙卷风,“正能量大V”们集体沉默了

清书先生
2026-07-08 11:27:44
特朗普:美伊谅解备忘录“已终结”

特朗普:美伊谅解备忘录“已终结”

界面新闻
2026-07-08 16:25:58
中国人民大学通报!蒋方舟被处理,网友讨论仍在持续

中国人民大学通报!蒋方舟被处理,网友讨论仍在持续

史海流年号
2026-07-06 11:52:39
欧派内部信称员工没价值就下船:为保大船不覆、为保多数人生存,只能忍痛请部分人下船,公司近两年累计减员6100人

欧派内部信称员工没价值就下船:为保大船不覆、为保多数人生存,只能忍痛请部分人下船,公司近两年累计减员6100人

大风新闻
2026-07-08 21:14:07
世界媒体热议阿根廷史诗逆转:最伟大的逆转

世界媒体热议阿根廷史诗逆转:最伟大的逆转

星耀国际足坛
2026-07-08 19:13:14
2026-07-08 22:40:49
科普中国 incentive-icons
科普中国
中国科协科普工作官方微平台
12073文章数 984932关注度
往期回顾 全部

科技要闻

独家对话小红书IPO举报风波当事人

头条要闻

欧派称员工没价值就下船:为多数人生存 请部分人下船

头条要闻

欧派称员工没价值就下船:为多数人生存 请部分人下船

体育要闻

阿根廷被埃及埋了一半,死里逃生

娱乐要闻

鹿晗出轨?邓超出轨绯闻又被扒出

财经要闻

新能源车"外挂电池"乱象:暗藏致命风险

汽车要闻

可享至高9万元权益 极氪9X五座版正式开启预售

态度原创

本地
时尚
手机
公开课
军事航空

本地新闻

万斤西瓜免费吃,来河南顶“瓜瓜”

工装裙、工装短袖越来越火,全世界时髦的女人都在穿

手机要闻

消息称折叠屏iPhone正常量产,预计两个月后发布!

公开课

李玫瑾:为什么性格比能力更重要?

军事要闻

特朗普:美伊谅解备忘录“已终结”

无障碍浏览 进入关怀版