12 月 11 日消息,据外媒 Engadget 今日报道,黑客开始利用 AI 生成的提示在谷歌搜索里投放恶意指令,毫无戒心的用户一旦照做,就会无意间为黑客打开安装恶意软件的入口。
Huntress 的最新报告揭示了完整流程。黑客会先与 AI 助手围绕某个常见搜索词展开对话,再诱导 AI 给出“把某条指令贴到终端里”的建议。黑客随后公开这段对话,并付费让谷歌把它推到搜索结果前列,只要有人搜索该词,恶意指令就会自动呈现。
从报道中获悉,Huntress 是在追查一项名为 AMOS、针对 Mac 的数据窃取攻击时发现这一手法的。受害者只是搜索“clear disk space on Mac”,点开一条赞助的 ChatGPT 链接,因为缺乏识别风险的经验而执行了指令,攻击者就会借机把 AMOS 植入系统。进一步测试显示,ChatGPT 与 Grok 都能被诱导复现这种攻击方式。
Huntress 强调,这种攻击最危险的一点是完全避开传统的警示信号。受害者不需要下载文件、不需要安装软件,甚至不需要点击可疑链接,只要信任谷歌和 ChatGPT 即可。而大多数用户对这两个服务早已建立信任,自然会接受给出的内容。然而,即便在 Huntress 发布警告后,相关对话链接仍在谷歌上保留了至少半天时间。
