BleepingComputer、SentinelOne 5 月 30 日同步披露:黑客组织 ShadowSyntax 在过去六周内利用 ChatGPT、Claude、Gemini 等聊天产品的「分享链接」功能,把恶意页面伪装成报错对话框引诱受害者下载木马。截至 5 月底,已有 1.4 万次确认感染,受害者集中在金融、咨询、外包开发三个行业。
SentinelOne 高级威胁研究员 Aleksandar Milenkoski 在博客里给出技术细节:攻击者注册类似 chat-share[.]ai、conversation-x[.]net 的域名,把伪造的对话内容做得跟 ChatGPT 默认 UI 一模一样,对话「失败」时弹出「点击这里下载完整记录」按钮,下载的是一个伪装成 .docx 的 LNK 加 PowerShell 加载器,最终落地 LummaC2 信息窃取器。
为什么这次特别危险
过去钓鱼依赖伪造银行、邮箱登录页,普通人多少有警觉。AI 聊天分享链接是新场景,很多公司还没有针对性的安全策略。Milenkoski 指出三个让传统安全产品失效的特点:分享链接经常通过 Slack、Teams 内传,绕过邮件网关;LLM 输出格式有合理性,员工不会怀疑「错误对话」的真实性;落地的 LummaC2 用 AI 生成 polymorphic payload,每个样本哈希都不同。
三家厂商都没有禁用分享链接
OpenAI、Anthropic、Google 在记者询问后给出的回应基本一致:会推出域名校验提醒,但不打算下架分享功能,因为后者是产品核心使用场景。这种处理方式让安全社区分歧明显。Cisco Talos 资深研究员 Nick Biasini 在 X 上开骂:「他们当然不会关掉分享,这等于砍掉一只手。但用户教育从今天开始就该铺开。」
企业能立刻做的三件事
对企业安全团队的现实建议是把所有 *.openai.com、*.anthropic.com 之外的「AI 分享」域名加入网关黑名单,再在 EDR 上把「文档下载来源是 AI 分享页」标成高风险事件,最后给员工补一条意识:AI 对话框里弹出的任何「下载完整记录」按钮都先停手。这套规则跑起来不难,难的是企业 IT 部门什么时候开始正眼看 AI 工具带来的新攻击面——很多公司到现在还以为 AI 工具就是「员工偷懒用的」,没把它当资产,更没想过它会成为新的入口。SentinelOne 在报告结尾给的判断很直接:随着 AI 聊天成为日常办公工具,针对它的社会工程攻击只会越来越多,今天这 1.4 万次感染只是个开头。
