AI代理风险升级:从说错话到真中毒,如何防恶意下载?
到2026年的时候, AI代理不再仅仅只是聊天机器人了, 而是成为了能够进行感知、推理并且展开行动的半自主系统。然而呢, 当AI开始去连接真实世界的软件系统时, 风险边界也就随着不断扩展了。MIT Sloan与波士顿咨询公司也就是BCG的调研明确指出, 传统聊天机器人主要是用来回答问题的, 而当下的AI代理能够在最少人工监督这样子的情况下独立完成任务。但这同样意味着, 攻击链变得更加短、更加隐蔽了。
以往, 电脑出现中毒状况, 常常是源于用户点击了不该去点击的链接, 或者下载了来源途径不明的软件。当下, 攻击者不再仅仅依赖假安装包, 而是将恶意下载行为散布到了搜索结果、共享AI对话、假文档页面、广告投放以及第三方托管站上。在2025年12月的时候, 安全公司披露了一起事件, 该事件中, 受害者在搜索macOS清理工具的过程中, 点击了排在前列位置的共享对话链接, 并且按照其中所提及的终端命令去执行, 最终感染了AMOS木马。全链路不存在恶意下载页面, 不存在传统安装器, 看起来仿佛是一回寻常般的搜索行为, 和复制举动, 以及粘贴动作。

有攻击者于2026年3月, 通过效仿官方之举,将用户引领至仿真安装文档页面, 借此诱使其执行恶意程序。更为离谱的是, 安全公司于2026年5月透露, 攻击者已然构建了至少88个域名, 集中用于佯装AI开发工具。往昔情形中, 于下载一个文件时, 要进行解压操作, 而后开展安装流程, 最后予以运行, 每一个步骤均会有人工干预, 其间存在着不计其数的可中止时机。在2026年4月的时候, 安全公司披露了一起事件, 编程工具里的AI代理直接执行了恶意且高度混淆的命令, 这些命令分步骤完成了下载、赋权、运行伪装成更新组件的文件, 最终触发了AMOS窃密木马, 整个过程是由AI代理自动完成的, 从遥测数据方面来看, 这些行为和正常的编程活动极为相似, 极其难以识别。
在更早一些的案例当中, 那是在2026年6月, 微软披露了这样的一种攻击方式, 即哪怕用户仅仅只是让AI去总结一个网页, 然而恶意网页却有可能凭借本地控制面从而触发电脑去执行任意命令。传统软件依靠投毒已然是够麻烦的了, 而AI生态还增添了插件、MCP服务器、技能市场等诸多新的攻击面。云安全联盟很明确地发出了警告, 开放式AI模型仓库以及技能仓库已然变成了现实当中的恶意软件分发渠道。OWASP的报告将技能直接视作AI代理产生现实影响的执行层面了, 着重强调着, 要仅仅安装已验证发布者的, 要开启自动扫描这项操作, 要进行审批安装, 要把版本固定下来, 要做到运行隔离, 还要开展审计工作。
2026年, 安全公司Snyk察觉到一个恶意npm包, 此恶意npm包会主动去调用电脑上的AI工具, 带着跳过权限确认、信任所有工具这般危险标志, 使得AI去代为搜索钱包痕迹、SSH密钥、环境变量这些高价值目标。安全公司记录到它会收集浏览器所保存的密码、自动填充数据、会话令牌、钥匙串数据以及加密钱包信息。更为危险的是, 一旦会话被窃取, 攻击者常常无需密码便可继续访问账户。当人工智能长时间运行于管理员权限的状况下, 处于主浏览器已然登录的状态时, 且在主密码库的旁边位置时, 一旦遭受到攻破的情况, 那么所损失的便是整个的数字身份了。
此威胁报告于2025年10月做出披露, 被封禁的账户曾借助模型生成钓鱼内容, 曾辅助进行脚本编写, 还曾开展恶意操作研究。当下更多呈现的是将AI应用于旧剧本以实现提速,并非凭空获取全新攻击能力, 不过这种趋势值得予以关注。上述提及的恶意npm包便是一个实例, 它自身实施恶举, 还调用AI工具以拓展成果, 致使攻击变得更具自动化与智能化。


可是, 由 AI 参与构成的攻击链, 其具备的隐蔽性要远远高出许多。从开始进行搜索, 接着到实施下载, 再到最终予以执行, 整个这一过程极有可能在短短几秒的时间之内就宣告完成, 而我们根本就不存在能够做出反应的时间。AI 编程工具本身便会时常去执行命令, 还会进行文件下载, 并且访问网络, 如此一来恶意行为极易隐藏在正常的操作流程当中。安全公司所给出的报告明确地表明, 恶意命令是经由 AI 代理直接去执行的, 从监控所获取的数据方面来看, 和普通的编程活动极为相似。许多用户出于追求效率的目的, 会选择将权限确认予以关闭, 从而让 AI 自行去执行所有的操作。
AI没办法稳定判定软件的来源到底可不可信, 安全公司的研究有这样的发现, 有的模型能够把可疑技能给识别出来, 但是GPT - 4o在同样的场景之下有可能直接进行安装, 或者是会持续提示用户手动去进行安装, 就算是最先进的模型, 在面对精心伪装的恶意内容的时候, 也没办法保证每一次都能够做出正确的判断。
要是让下载行为、联网行为, 以及执行行为、发信行为、删除行为这些具备高后果性质的动作, 始终都保留着显式确认, 那这般做法乃是最为有效的安全习惯。可千万不要使其长期处于管理员账户的状态下展开工作, 也别让它处于主浏览器已然登录的状态里, 更不能让它待在主密码库的旁边。要是有条件的话, 去为人工智能创建出这样一个账户来, 它是独立的, 并且权限是受到限制的。最为笨拙然而却有效的规矩是这样子的: 首先得去确认其来源, 接着再去确认其内容究竟如何, 随后才能够决定是不是要运行它。一旦看到诸如“curl | bash”这类属于下载即执行类型的命令, 那就更得提高警惕。特别是当人工智能开启了网页搜索功能或者连接了外部系统的时候, 那就更得小心谨慎。

就算有个工具于官方目录或者GitHub上瞧着仿若真的, 那也并不意味着它就值得径直接入我们的文件系统以及账号。仅安装经过验证发布者的工具, 去查看评价与下载量, 版本保持固定, 运行于隔离环境之中。在对新工具、新技能、新安装命令开展测试的时候, 要用干净账户以及干净环境, 千万别用日常主力设备直接去尝试。安全公司的文档特意提醒: 哪怕是在开发容器里运行, 一旦跳过权限确认, 容器里所有可访问内容依旧有可能被恶意程序外传。
要是怀疑已然中招, 马上用另外一台干净的设备更改关键账号的密码, 撤销活跃的会话, 移除未知的设备。把权限管理好, 将确认权把控在自己手中, 把敏感数据隔离妥善, 这才是现阶段更为稳妥的使用方式哟。
更多精彩文章请关注=>金色港湾资讯网 www.fzjsgw.com


