机器之心报道

编辑：冷猫

大模型发展到现在，大家的设备上基本都有 AI 大模型工具了吧。

随着多模态、交互、编码等各项能力的进化，AI 智能体的应用也越来越广泛。随之而来的就是 AI 智能体在相应应用场景获取的权限也越来越多。

最近在刷视频的时候都有弹幕感叹，智能助手的权限真的高。

尤其是在 AI 已经落地应用的杀手锏能力 —— 编程领域里，智能体几乎获取了用户设备中文件全部的读写权限。这方面的风险不言自明。就像我们过去报道过的 Replit「删库」事件。

「删库」事件是 AI 智能体本身的翻车，大众的目光似乎总是被 AI 模型自身的能力缺陷造成的风险吸引了注意，但却似乎忽视了更大的外部风险。

你设备里的 AI 智能体很可能被利用来攻击你。

这并非危言耸听，就在 UTC 时间 26 日晚约 10 点 32 分，这类的恶意程序已经出现，并且影响了成千上万的开发者。

首次利用 AI 工具攻击的恶意软件

2025 年 8 月 26 日晚上约 10 点 32 分（UTC），广受欢迎的 Nx 构建系统（Nx build system） 软件包遭到入侵，被植入了窃取数据的恶意程序。这些带有后门的版本仅在网络上存活了 5 个多小时 就被下架，但在这短暂的时间里，成千上万的开发者可能已经受到影响。

这是首次记录的恶意软件利用 AI CLI 工具进行侦察和数据窃取的案例。

这次的恶意代码不只是窃取 SSH 密钥、npm 令牌、.gitconfig 文件。

它更进一步，将开发者常用的 AI 命令行工具（CLI）武器化，包括 Claude、Gemini 和 q。这些 AI 工具被劫持，用来做信息获取和数据外传。这是已知的首个案例：黑客把开发者的 AI 智能体变成了攻击的帮凶。

由于 Nx 生态系统本身非常流行，再加上 AI 工具滥用的现象，这次事件凸显了黑客攻击的严重性。所有安装过受污染版本的用户，都必须立即采取补救措施。目前，nx 团队已经发布了官方安全通告（编号 GHSA-cxm3-wv7p-598c），确认了这次入侵，并披露更多细节。公告证实：攻击源于一名维护者的 npm 账号令牌泄露，黑客借此控制了发布权限。

事件时间线（UTC 时间）

这场攻击在数小时内迅速展开：

10:32 PM —— 恶意版本 21.5.0 发布到 npm 仓库10:39 PM —— 恶意版本 20.9.0 发布11:54 PM —— 黑客同时发布 20.10.0 和 21.6.0 两个带毒版本8 月 27 日 12:16 AM —— 恶意版本 20.11.0 发布12:17 AM —— 仅一分钟后，又发布恶意版本 21.7.012:30 AM —— 一名社区成员在 GitHub 提交 issue，提醒 nx 团队发现可疑行为12:37 AM —— 最后两个恶意版本 21.8.0 和 20.12.0 被发布02:44 AM —— npm 官方采取行动，移除所有受影响版本03:52 AM —— nx 组织所有者吊销被盗的维护者账号，阻止进一步的恶意发布09:05 AM —— GitHub 限制了被窃取机密信息的仓库，将其设为私有并从搜索结果中移除10:20 AM —— npm 进一步清理，移除了更多受影响的相关软件包版本03:57 PM —— npm 启用新的安全措施，覆盖所有 Nx 包

整场攻击持续了约5 小时 20 分钟，黑客在两个主要版本分支中一共发布了8 个恶意版本

这次事件不仅是供应链安全的一次重大警示，更是首次揭示：AI 开发助手也可能被黑客「反向利用」，成为攻击链条的一环。

本次恶意攻击的技术分析

这次被入侵的 Nx 软件包，每周有超过 400 万次下载。黑客在其中植入了一个恶意的 post-install hook。

每当开发者安装这个包时，它就会自动运行一个叫 telemetry.js 的脚本。这个脚本几乎是「秒触发」，为攻击者打开了进入开发者电脑的大门 —— 并且是大规模同时发生的。

一旦脚本运行，它会系统化地搜集受害电脑上的敏感信息

系统信息：环境变量（process.env）、主机名和操作系统细节以及平台信息；加密货币钱包：metaMask 密钥库、Electrum 钱包、Ledger 与 Trezor 硬件钱包数据、Exodus、Phantom 和 Solflare 钱包以及通用的密钥文件（例如 UTC–*、keystore.json、*.key）；

收集到信息后，恶意程序会执行一套「隐蔽又高效」的外传步骤

使用窃取的 GitHub 令牌，自动创建一个名为 s1ngularity-repository 的公共 GitHub 仓库。部分变种还会在名字后面加上 「-0」、「-1」 等数字后缀。将所有收集到的数据 进行三次 编码（triple- encode）。把结果写入一个名为 results.b64 的文件，并上传到新建仓库。把仓库设为 公开状态，间接让敏感数据暴露在互联网上。

黑客不仅要窃取数据，还要制造混乱

在～/.bashrc 和～/.zshrc 文件末尾，恶意程序会添加命令：sudo shutdown -h 0这样一来，每次用户新开一个终端，系统就会尝试立即关机。结果就是造成了一种 拒绝服务（DoS） 的效果：开发者的工作环境被彻底破坏。

对于此事件的更多信息，可以参阅原技术博客：

https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware#conclusion

AI 被黑客滥用的新趋势

不仅是利用 AI 工具入侵用户数，黑客们利用 AI 进行恶意行为的现象已经成为了一种新的趋势。参照 Anthropic 八月份 AI 滥用报告，Claude 同样也是被黑客滥用的重灾区。

博客链接：https://www.anthropic.com/news/detecting-countering-misuse-aug-2025

黑客用 Claude 扩大勒索

犯罪分子利用 Claude Code 实施了大规模的数据盗窃和勒索。受害对象至少包括 17 家不同的机构，涵盖医疗、应急服务、政府部门，甚至宗教组织。

与传统勒索软件不同，这名黑客并没有加密数据，而是直接威胁：如果不给钱，就把敏感信息公之于众。在一些案例中，勒索金额高达 50 万美元。

在此次勒索行动中，Claude 被用到了前所未有的程度：

Claude Code自动化了大量侦查任务，帮助黑客窃取受害者凭证并渗透网络。Claude 不只是执行命令，还能做出战术与战略层面的决策，比如选择窃取哪些数据、如何撰写勒索信息。它会分析被盗的财务数据，自动推算合理的勒索金额它甚至还能生成视觉上极具冲击力的勒索通知，直接显示在受害者电脑上，制造心理压力。

Anthropic 把这种行为称为「氛围黑客（vibe hacking）」。

犯罪分子售卖 AI 生成的勒索软件

另一名网络犯罪分子则把 Claude 当作「勒索软件工厂」。他们利用 Claude 开发、打包并推向市场了多个版本的勒索软件。

完成后，黑客将这些「勒索软件即服务（RaaS）」发布在网络论坛上出售，价格在 400 美元到 1200 美元 不等。换句话说，即便没有多少技术能力的人，也能花钱买到一款现成的 AI 生成勒索工具。

2025 年 1 月，网络犯罪分子在暗网上的首次销售广告

全球首个已知的 AI 驱动勒索软件

ESET Research 最近发现了全球首个已知的 AI 驱动勒索软件，并将其命名为 promptLock。

这种恶意软件的独特之处在于，它并非使用传统硬编码逻辑，而是依赖 AI 模型动态生成攻击脚本。

promptLock 并不依赖传统的固定恶意代码，而是通过 Ollama API在本地调用 gpt-oss-20b 模型，由攻击者预先写入的提示词即时生成恶意 Lua 脚本并立即执行。

这些脚本具备跨平台特性，可以在 Windows、Linux 和 macOS 上无缝运行。

研究人员指出，多项迹象表明 promptLock 更像是一个 概念验证（PoC） 或仍在开发中的实验样本，而非已经广泛部署的成熟勒索软件。

更令人关注的是，promptLock 并不会把体量巨大的模型直接下载到受害者设备上，而是通过在受害网络中建立 代理，将请求转发至远程服务器上运行的 Ollama API + gpt-oss-20b 模型，这种方式属于 MITRE ATT&CK 框架中的内部代理技术，也是现代网络攻击中愈发常见的手段。

总结

随着 AI 能力不断增强，黑客和诈骗分子也在不断「升级」手法。智能体型 AI 已被用作武器，直接参与并执行复杂的网络攻击。

同时，AI 大幅降低了作案门槛，让本该需要复杂知识体系黑客技能，变成任何人都能借助 AI 轻松完成的操作。

更严重的是，AI 已经渗透进网络犯罪的整个流程：从锁定受害者、分析被盗数据、窃取信用卡信息，到伪造身份、扩大诈骗规模，AI 正在成为黑客的全链路「帮凶」。

这或许意味着未来的恶意软件可能更加灵活、难以预测，也更难以防御。