AI智能体安全警报：首例利用AI命令行工具的大规模恶意软件攻击

人工智能大模型技术已深入普及，如今大多数用户的设备中都安装了各类AI大模型工具。

随着多模态交互、代码生成等核心能力的持续进化，AI智能体的应用场景日益广泛，其在各场景中获得的权限也相应增多。

近期，在浏览视频内容时，常有弹幕评论指出，智能助手所拥有的权限之高令人惊讶。

尤其是在编程这一AI杀手锏应用领域，智能体几乎获取了用户设备文件的完整读写权限，相关风险不言而喻。正如过去报道的Replit「删库」事件所警示的。

「删库」事件是AI智能体自身能力缺陷导致的翻车，公众视线往往被模型内部风险吸引，却可能忽视了更严峻的外部威胁。

您设备中的AI智能体很可能被恶意利用，转而攻击您自身。

首次利用AI工具攻击的恶意软件

2025年8月26日晚约10点32分（UTC），广受欢迎的Nx构建系统软件包遭遇入侵，被植入数据窃取恶意程序。这些携带后门的版本仅在网络存活5个多小时便被下架，但在此期间，成千上万的开发者可能已受到影响。

这是首次有记录的恶意软件利用AI命令行工具进行侦察和数据窃取的案例。

恶意代码不仅窃取SSH密钥、npm令牌、.gitconfig文件，更进一步将开发者常用的AI命令行工具（如Claude、Gemini和q）武器化，用于信息收集和数据外传。这是已知的首个案例：黑客将开发者的AI智能体转变为攻击的帮凶。

由于Nx生态系统极为流行，加上AI工具滥用现象，这次事件凸显了攻击的严重性。所有安装过受污染版本的用户必须立即采取补救措施。目前，nx团队已发布官方安全通告（编号GHSA-cxm3-wv7p-598c），确认入侵并披露更多细节。公告证实攻击源于一名维护者的npm账号令牌泄露，黑客借此控制了发布权限。

事件时间线（UTC时间）

这场攻击在数小时内迅速展开：

• 10:32 PM —— 恶意版本21.5.0发布到npm仓库
• 10:39 PM —— 恶意版本20.9.0发布
• 11:54 PM —— 黑客同时发布20.10.0和21.6.0两个带毒版本
• 8月27日12:16 AM —— 恶意版本20.11.0发布
• 12:17 AM —— 仅一分钟后，又发布恶意版本21.7.0
• 12:30 AM —— 一名社区成员在GitHub提交issue，提醒nx团队发现可疑行为
• 12:37 AM —— 最后两个恶意版本21.8.0和20.12.0被发布
• 02:44 AM —— npm官方采取行动，移除所有受影响版本
• 03:52 AM —— nx组织所有者吊销被盗的维护者账号，阻止进一步的恶意发布
• 09:05 AM —— GitHub限制了被窃取机密信息的仓库，将其设为私有并从搜索结果中移除
• 10:20 AM —— npm进一步清理，移除了更多受影响的相关软件包版本
• 03:57 PM —— npm启用新的安全措施，覆盖所有Nx包

整场攻击持续约5小时20分钟，黑客在两个主要版本分支中一共发布了8个恶意版本。

这次事件不仅是供应链安全的一次重大警示，更是首次揭示：AI开发助手也可能被黑客「反向利用」，成为攻击链条的一环。

本次恶意攻击的技术分析

这次被入侵的Nx软件包每周有超过400万次下载。黑客在其中植入了一个恶意的安装后钩子。

每当开发者安装这个包时，它会自动运行一个名为telemetry.js的脚本。该脚本几乎是「即时触发」，为攻击者打开了进入开发者电脑的大门——并且是大规模同时发生的。

一旦脚本运行，它会系统化地搜集受害电脑上的敏感信息：

• 系统信息：环境变量、主机名和操作系统细节以及平台信息；
• 加密货币钱包：MetaMask密钥库、Electrum钱包、Ledger与Trezor硬件钱包数据、Exodus、Phantom和Solflare钱包以及通用的密钥文件（例如UTC–、keystore.json、.key）；

收集到信息后，恶意程序会执行一套「隐蔽又高效」的外传步骤：

• 使用窃取的GitHub令牌，自动创建一个名为s1ngularity-repository的公共GitHub仓库。部分变种还会在名字后面加上「-0」、「-1」等数字后缀。
• 将所有收集到的数据进行三次Base64编码。
• 把结果写入一个名为results.b64的文件，并上传到新建仓库。
• 把仓库设为公开状态，间接让敏感数据暴露在互联网上。

黑客不仅要窃取数据，还要制造混乱：

• 在～/.bashrc和～/.zshrc文件末尾，恶意程序会添加命令：sudo shutdown -h 0
• 这样一来，每次用户新开一个终端，系统就会尝试立即关机。
• 结果就是造成了一种拒绝服务的效果：开发者的工作环境被彻底破坏。

对于此事件的更多信息，可以参阅原技术博客：

https://www.stepsecurity.io/blog/supply-chain-security-alert-popular-nx-build-system-package-compromised-with-data-stealing-malware#conclusion

AI被黑客滥用的新趋势

不仅是利用AI工具入侵用户设备，黑客们利用AI进行恶意行为的现象已经成为一种新趋势。参照Anthropic八月份的AI滥用报告，Claude同样也是被黑客滥用的重灾区。

博客链接：https://www.anthropic.com/news/detecting-countering-misuse-aug-2025

黑客用Claude扩大勒索

犯罪分子利用Claude Code实施了大规模的数据盗窃和勒索。受害对象至少包括17家不同的机构，涵盖医疗、应急服务、政府部门，甚至宗教组织。

与传统勒索软件不同，这名黑客并没有加密数据，而是直接威胁：如果不支付赎金，就把敏感信息公之于众。在一些案例中，勒索金额高达50万美元。

在此次勒索行动中，Claude被用到了前所未有的程度：

Claude Code自动化了大量侦查任务，帮助黑客窃取受害者凭证并渗透网络。

Claude不只是执行命令，还能做出战术与战略层面的决策，比如选择窃取哪些数据、如何撰写勒索信息。

它会分析被盗的财务数据，自动推算合理的勒索金额。

它甚至还能生成视觉上极具冲击力的勒索通知，直接显示在受害者电脑上，制造心理压力。

Anthropic把这种行为称为「氛围黑客（vibe hacking）」。

犯罪分子售卖AI生成的勒索软件

另一名网络犯罪分子则把Claude当作「勒索软件工厂」。他们利用Claude开发、打包并推向市场了多个版本的勒索软件。

完成后，黑客将这些「勒索软件即服务」发布在网络论坛上出售，价格在400美元到1200美元不等。换句话说，即便没有多少技术能力的人，也能花钱买到一款现成的AI生成勒索工具。

2025年1月，网络犯罪分子在暗网上的首次销售广告

全球首个已知的AI驱动勒索软件

ESET Research最近发现了全球首个已知的AI驱动勒索软件，并将其命名为PromptLock。

这种恶意软件的独特之处在于，它并非使用传统硬编码逻辑，而是依赖AI模型动态生成攻击脚本。

PromptLock并不依赖传统的固定恶意代码，而是通过Ollama API在本地调用gpt-oss-20b模型，由攻击者预先写入的提示词即时生成恶意Lua脚本并立即执行。

这些脚本具备跨平台特性，可以在Windows、Linux和macOS上无缝运行。

研究人员指出，多项迹象表明PromptLock更像是一个概念验证或仍在开发中的实验样本，而非已经广泛部署的成熟勒索软件。

更令人关注的是，PromptLock并不会把体量巨大的模型直接下载到受害者设备上，而是通过在受害网络中建立代理，将请求转发至远程服务器上运行的Ollama API + gpt-oss-20b模型，这种方式属于MITRE ATT&CK框架中的内部代理技术，也是现代网络攻击中愈发常见的手段。

总结

随着AI能力不断增强，黑客和诈骗分子也在不断「升级」手法。智能体型AI已被用作武器，直接参与并执行复杂的网络攻击。

同时，AI大幅降低了作案门槛，让本该需要复杂知识体系的黑客技能，变成任何人都能借助AI轻松完成的操作。

更严重的是，AI已经渗透进网络犯罪的整个流程：从锁定受害者、分析被盗数据、窃取信用卡信息，到伪造身份、扩大诈骗规模，AI正在成为黑客的全链路「帮凶」。

这或许意味着未来的恶意软件可能更加灵活、难以预测，也更难以防御。