返回
快讯

AI生成浏览器勒索软件滥用Chromium API

研究人员发现,DeepSeek 生成的一份 Python 恶意样本结合浏览器能力,形成可在浏览器内运行的勒索链路,影响 Windows、macOS、Linux、Android 和 Microsoft Edge on Windows。攻击依赖钓鱼诱导用户授予 File System Access API 权限。建议组织加强投递层防护、重新审视基于权限的信任,并把每次浏览器提示都视为安全决策。

CVE-2023-4863

网络安全研究人员披露了一份使用 DeepSeek 生成的新型恶意软件样本,该样本构造了一条新的攻击路径,把“并不现实的浏览器恶意软件概念”与“真实的浏览器能力”结合起来,从而变成一种可工作的勒索软件技术,能够在 Windows 和 Android 设备上的浏览器内完全运行。

Check Point 在发给 The Hacker News 的声明中表示:“这是首个有记录的案例,表明一个前沿 AI 模型独立弥合了理论上的纯浏览器勒索软件风险与实际可运行攻击链之间的鸿沟——暴露出一条新的攻击路径,而防御者此前因为浏览器沙箱限制曾认为它不可行。”

“发现新攻击路径所需的专业知识不再是瓶颈,防御者现在就需要考虑这一变化——在威胁行为者将其大规模实战化之前。”

被识别出的样本是一个名为“deepseek_python_20260125_da0631.py”的 Python Flask 应用程序,于 2026 年 1 月 25 日上传至 VirusTotal。Google 旗下的恶意软件扫描服务将其描述为“功能完整的信息窃取器和勒索软件工具包”。恶意软件作者将其命名为 InfernoGrabber v9.0。

该应用被设计成一个恶意 Web 服务器,通过伪造的 Discord avatar AI upscaler 诱骗受害者,同时暗中执行大量有害操作,包括窃取 Discord tokens、收集信用卡号码和 cryptocurrency seed phrases、记录按键,以及捕获未授权的 webcam 和 microphone 画面。

VirusTotal 表示:“代码包含针对浏览器利用的特定例程(目标包括诸如 CVE-2023-4863 之类的 CVEs)、通过硬编码的 Discord webhook 进行数据外传、一个要求 Bitcoin 的勒索 ‘WinLocker’ 屏幕,以及一个供攻击者管理被盗数据的管理面板。”

随着人工智能和大型语言模型(LLMs)正在重新定义网络威胁格局,威胁行为者开始滥用这项技术来开发恶意软件和利用。这次使用 DeepSeek 值得注意,因为它表明,与 Anthropic、Google 或 OpenAI 的西方同类产品相比,中国公司的模型对恶意网络安全请求的拒绝率更低。

促成 DeepSeek 被使用的其他因素可能包括:可通过网页界面免费访问、在其他前沿模型不运营的地区可用,以及它能够从“单一宽泛提示”生成可工作的恶意应用程序,而 Anthropic 或 OpenAI 的模型则不同。

Check Point Research 表示:“DeepSeek models can turn high‑level malicious ideas into concrete, complete attacks with less expertise than competing platforms.”

这家以色列网络安全公司表示,它是在分析过去一年中归因于 DeepSeek 的约 3,000 个文件时发现这一 Python 产物的。其中有 1,383 个样本被归类为恶意或危险。该 Python 恶意软件属于所谓的 In-Browser Ransomware,是一种在真实世界攻击活动中此前未见过的浏览器原生技术。生成该样本所使用的具体提示词未知。

这种攻击技术包括使用钓鱼诱饵,诱骗用户向网页授予文件系统访问权限;随后网页会枚举所选文件夹中的本地文件,读取并外传其内容,加密并覆盖这些文件,最后向受害者显示勒索说明。更不寻常的是,整个过程无需安装本地载荷、无需利用浏览器漏洞,也不需要 root 权限。

值得一提的是,这种方法仅限于暴露 picker-based File System Access API 的网页浏览器。这包括 Google Chrome 以及其他基于 Chromium 的浏览器,覆盖 Windows、macOS、ChromeOS、Linux 和 Android。没有证据表明这种浏览器原生勒索软件模式已在野外被滥用。

Check Point Research 恶意软件分析团队负责人 Pedro Drimel Neto 告诉 The Hacker News:“我们的测试确认该攻击可在 Windows、macOS、Linux、Android 和 Windows 上的 Microsoft Edge 中运行。唯一重要的例外是 iOS,我们无法在那里复现这次攻击。由于 File System Access API 在这些平台上的 Chromium-based 浏览器中实现,攻击面比最初认为的更广,影响了绝大多数桌面和 Android 用户。”

AI 辅助开发的另一个令人担忧之处在于,它不仅降低了不良行为者生成攻击代码的门槛,还在于他们甚至不需要先知道这种文件系统访问 API 的存在,也不需要具备用来滥用它的技术专长。

换句话说,输入一个过于宽泛的提示,就足以让 LLM 在存在或缺乏防护措施的情况下,把一个抽象的恶意请求整理成可工作的攻击蓝图。当技术理解有限的用户描述不切实际的要求时,模型在试图满足这些要求的过程中,可能会生成幻觉式结果,并顺带暴露出不寻常的技术。

Drimel Neto 表示,这项研究表明,即使是宽泛的提示也能生成“虚构但可运行”的恶意软件,而对有害请求抵抗力更低的 LLM 更容易被滥用。“威胁行为者正在积极根据哪些 LLM 会配合有害请求来进行选择,”他补充说。

Check Point Research 研究负责人 Eli Smadja 在一份声明中表示:“我们正在目睹新型网络攻击诞生方式的根本转变。我们首次获得证据表明,AI 模型可以独立地跨越合法平台功能进行推理,并暴露出一种人类此前仅停留在理论层面的可运行攻击技术——而攻击者本人甚至不知道底层 API 的存在。”

“实现复杂攻击的门槛正在崩塌,这对每一家把 AI 嵌入工作流程的组织,以及每一位如今把个人和职业生活都装进照片库里的移动用户,都具有深远影响。AI 安全的未来不能寄望于模型拒绝显而易见的恶意请求;它必须假设下一种攻击技术不是由人类研究者发现,而是由一次恰好说对了一件事的 AI 幻觉发现的。”

Smadja 还敦促组织通过加强投递层、防重新思考基于权限的信任,并把每一次浏览器提示都当作安全决策来做准备。

(该报道在发布后已更新,加入了 Check Point Research 的额外见解。)