当前,AI 正在从聊天助手进化成行动助手。它能帮我们搜索资料、下载软件、运行命令、操作文件,甚至管理账号和邮箱。很多原本需要手动完成的任务,现在只要一句话,AI 就能自动执行。
但很多人没有意识到一个问题:当 AI 不再只是"说",而是开始"做"的时候,一旦它做了错误的事,后果可能比"说错话"严重得多。
今年,已经有开发者在使用 AI 编程工具时,电脑感染了 AMOS 窃密木马,社交媒体账号被接管。排查过程中,他发现了与 AI 工具相关的下载记录,怀疑 AI 在执行任务时,从不安全的来源下载了恶意软件。

上下滑动查看。开发者疑似因 AI 工具下载感染木马的相关记录
这件事给我们提了一个醒:AI 本身不一定是病毒,但当它具备联网、下载、运行程序的能力时,一次判断失误就可能变成真实的安全事故。
从会说话到会动手,
AI 的风险边界变了
过去的 AI 主要负责回答问题。我们问它什么,它就说什么,答错了通常还需要我们自己判断是否采纳。风险最多停留在信息不准确。
现在的 AI Agent 已经不同了。以 Claude Code、Cursor、OpenClaw 等工具为代表,它们可以直接:
搜索和下载软件
运行终端命令
读取和修改文件
操作浏览器和账号
调用插件及外部工具
换句话说,AI 的风险已经从"说错了",变成了"做错了"。
MIT Sloan 与波士顿咨询公司(BCG)的调研指出 [ 1 ] ,传统聊天机器人主要是回答问题,而现在的 AI 代理是能够感知、推理并行动的半自主系统,可以在最少人工监督下独立完成任务。当 AI 开始连接真实世界的软件系统,风险边界也随之扩展。
元股证券:ygzq.hkAI 如何放大中毒风险?
过去,电脑中毒通常是因为我们自己点了不该点的链接、下载了来路不明的软件。现在,AI 的加入让这条攻击链变得更短、更隐蔽。
1
新的下载入口
攻击者不再只靠假安装包这一种方式,而是把恶意下载铺到了搜索结果、共享 AI 对话、假文档页面、广告投放、第三方托管站上。
2025 年 12 月,安全公司 Huntress 披露了一起事件 [ 2 ] :受害者在 Google 搜索 macOS 清理工具时,点击了排在前列的 ChatGPT 共享对话链接,并按其中的终端命令执行,最终感染了 AMOS 木马。整条链路没有恶意下载页、没有传统安装器,看上去就像一次普通的搜索、复制、粘贴。
2026 年 3 月,Bitdefender 发现有攻击者通过 Google Ads 冒充 Claude Code 官方,把用户引到仿真安装文档页,诱导执行恶意程序
[ 3 ] 。更夸张的是,安全公司 Straiker 在 2026 年 5 月披露,攻击者已经搭建了至少 88 个域名,集中冒充 Claude Code、JetBrains、NotebookLM 等 AI 开发工具 [ 4 ] 。

图库版权图片,转载使用可能引发版权纠纷
2
自动执行链被压缩
过去,下载一个文件、解压、安装、运行,每一步都需要人工操作,中间有无数次刹车的机会。现在,AI 可以连续完成整个流程。
2026 年 4 月,安全公司 Field Effect 披露了一起事件 [ 5 ] :Cursor 编程工具中的 Claude Code 直接执行了恶意且高度混淆的 AppleScript 命令,依次完成了下载、赋权、运行伪装成更新组件的文件,最终触发 AMOS 窃密木马。整个过程由 AI 代理自动完成,从遥测数据上看,这些行为和正常的编程活动高度相似,极难识别。
更早的案例中,微软在 2026 年 6 月披露了一种名为 AutoJack 的攻击方式 [ 6 ] :哪怕用户只是让 AI 总结一个网页,恶意网页也可能借由本地控制面触发电脑执行任意命令。
3
工具链暗藏后门
传统软件依赖投毒已经够麻烦了,AI 生态又增加了插件、MCP 服务器、技能市场等新的攻击面。
云安全联盟(Cloud Security Alliance)明确警告,开放式 AI 模型仓库和技能仓库已经成为现实中的恶意软件分发渠道。OWASP 的报告直接把技能视为 AI 代理产生现实影响的执行层,强调要只安装已验证发布者、开启自动扫描、审批安装、版本固定、运行隔离与审计 [ 7 ] 。
2026 年,安全公司 Snyk 发现了一个恶意 npm 包,它会主动调用电脑上的 Claude Code、Gemini CLI 等 AI 工具,并带上跳过权限确认、信任所有工具之类的危险标志,让 AI 代为搜索钱包痕迹、SSH 密钥、环境变量等高价值目标 [ 8 ] 。
4
权限把损失成倍放大
AMOS 不是简单的弹广告木马。安全公司记录到它会收集浏览器保存的密码、Cookie、自动填充数据、会话令牌、钥匙串数据和加密钱包信息。
更危险的是,一旦会话 Cookie 被窃取,攻击者往往无需密码就能继续访问账户。这意味着即使我们改了密码,如果会话没有被撤销,攻击者仍然可以长驱直入。
当 AI 长期运行在管理员权限、主浏览器已登录状态、主密码库旁边时,一旦被攻破,损失的就是整个数字身份。
5
木马反过来利用 AI
攻击者也在学习利用 AI。OpenAI 在 2025 年 10 月的威胁报告中披露 [ 9 ] ,被封禁的账户曾用模型生成钓鱼内容、辅助脚本编写和研究恶意操作。虽然目前看到的更多是把 AI 装到旧剧本上提速,而非凭空获得全新攻击能力,但这种趋势值得关注。
上面提到的恶意 npm 包就是一个例子:它不仅自己作恶,还调用 AI 工具来扩大战果,让攻击变得更加自动化和智能化。

图库版权图片,转载使用可能引发版权纠纷
一次攻击可能怎样发生?
让我们把上面的风险串起来,看看一次完整的攻击可能长什么样:
我们让 AI 帮忙安装一个开发工具 → AI 搜索到一个看起来很像官网的页面(实际上是攻击者搭建的假站) → AI 自动下载了安装包 → AI 跳过了权限确认,直接运行 → 恶意程序植入系统 → 后台悄悄收集密码、Cookie、Token → 攻击者接管我们的账号、邮箱、甚至钱包
整个过程可能只需要几分钟,而我们可能完全不知情。


AI 辅助攻击链示意图
为什么这类风险更难发现?
传统的电脑中毒,我们通常能找到一个可疑文件或异常弹窗。但 AI 参与的攻击链,隐蔽性要高得多。
操作速度快,高度自动化
从搜索到下载到执行,整个过程可能在几秒内完成,我们根本没有反应的时间。
危险操作混入正常任务
AI 编程工具本来就会频繁执行命令、下载文件、访问网络,恶意行为很容易隐藏在正常的操作流程中。Field Effect 的报告明确指出,恶意命令由 AI 代理直接执行,从监控数据上看和普通编程活动高度相似。
用户容易因频繁提示而开启 bypass 模式
每次操作都要确认,确实很烦。很多用户为了效率,会选择关闭权限确认,让 AI 自动执行一切。但这等于把最后的安全阀门也打开了。
AI 无法稳定判断软件来源是否可信
不同模型的表现差异很大。安全公司 Trend Micro 的研究发现,Claude 能把可疑技能识别出来,但 GPT-4o 在同样场景下可能直接安装,或者持续提示用户手动安装。即使是最先进的模型,面对精心伪装的恶意内容,也无法保证每次都做出正确判断。
普通人如何防范?
说了这么多风险,我们普通人能做什么?记住一个核心原则:把 AI 当成一个能力强、但判断力不稳定的助手,而不是绝对可靠的专家。
具体来说,六条建议:
不要长期开启 bypass 模式
权限确认虽然麻烦,但它是最后一道防线。让下载、联网、执行、发信、删除这些高后果动作始终保留显式确认,是最有效的安全习惯。
不要让 AI 长期拥有管理员权限
给 AI 完成任务所需的最小权限就够了。不要让它长期工作在管理员账户、主浏览器已登录状态、主密码库旁边。如果可能,为 AI 创建一个独立的、权限受限的账户。
下载和运行必须分开确认
真正危险的命令,往往在于下载后立刻运行。最笨但有效的规矩是:先确认来源,再确认内容,再决定是否运行。看到 curl | bash 这类下载即执行的命令,更要提高警惕。

图库版权图片,转载使用可能引发版权纠纷
限制 AI 接触密码、钱包和重要账号
密码、身份证号、银行卡号、加密钱包、未公开数据……这些信息不要随手输入 AI 工具。尤其是当 AI 开启了网页搜索或连接了外部系统时,更要谨慎。
谨慎安装插件、MCP 服务和第三方工具
哪怕一个工具在官方目录或 GitHub 上看起来很像真的,也不代表它值得直接接入我们的文件系统和账号。只安装已验证发布者的工具,查看评价和下载量,版本固定,运行在隔离环境里。
6
使用独立账户、沙箱或虚拟机
测试新工具、新技能、新安装命令时,用干净账户和干净环境,不要用日常主力设备直接试。Anthropic 的文档特别提醒:即使在开发容器里运行,一旦跳过权限确认,容器里所有可访问内容仍可能被恶意程序外传。
7
怀疑感染后,处理范围必须大于改密码
如果怀疑电脑中毒,正确的处理顺序是:
· 先断网,隔离可疑设备
· 用另一台干净设备改关键账号密码 · 撤销活跃会话、移除未知设备
· 轮换 API Key、SSH 密钥、云 Token 和钱包相关密钥
实盘可查配资平台· 最后再决定是否重装系统
只改密码而不撤销会话,往往不够。攻击者拿到的是通行证,不是密码本身,改了密码也不一定能把他踢出去。
结语
AI 的便利性,正在快速改变我们的工作和生活。但越是方便的工具,越需要清楚它的边界。
AI 可以帮我们提高效率,但不能替代我们的判断。把权限管住,把确认权握在自己手里,把敏感数据隔离好,才是现阶段更稳妥的使用方式。
技术在进步,风险也在进化。保持警惕,才能让 AI 真正为我们所用。
参考文献
[ 1 ] Beth Stackpole. " Agentic AI, explained " . MIT Sloan Ideas Made to Matter, Feb 18, 2026. https://mitsloan.mit.edu/ideas-made-to-matter/agentic-ai-explained
[ 2 ] Stuart Ashenbrenner, Jonathan Semon. " AMOS Stealer Exploits AI Trust: Malware Delivered Through ChatGPT and Grok " . Huntress, Dec 9, 2025. https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust
[ 3 ] Ionut Alexandru BALTARIU, Silviu STAHIE. " Windows and macOS Malware Spreads via Fake ‘ Claude Code ’ Google Ads " . Bitdefender, Mar 11, 2026. https://www.bitdefender.com/en-gb/blog/labs/fake-claude-code-google-ads-malware
[ 4 ] Carl Vincent, Amanda Rousseau. " Fake Claude Code, Real Malware: Inside the Campaign Targeting AI Developers " . Straiker, May 27, 2026. https://www.straiker.ai/blog/acr-stealer-claude-code-impersonation-campaign
[ 5 ] Field Effect Threat Intelligence. " Malicious AppleScript executed via Claude Code agent in Cursor IDE " . Field Effect, Apr 24, 2026. https://fieldeffect.com/blog/malicious-applescript-executed-via-claude-code-agent-in-cursor-ide
[ 6 ] Microsoft Threat Intelligence. " AutoJack: Exposing local control surfaces in agentic web browsing " . Microsoft, Jun 18, 2026. https://www.microsoft.com/en-us/security/blog/2026/06/18/autojack-exposing-local-control-surfaces-in-agentic-web-browsing/
[ 7 ] OWASP. " Agentic Skills Top 10 " . OWASP Foundation, 2026. https://owasp.org/www-project-agentic-skills-top-10/
[ 8 ] Snyk Security Research. " Weaponizing AI coding agents for malware in the Nx malicious package " . Snyk, 2026. https://snyk.io/blog/weaponizing-ai-coding-agents-for-malware-in-the-nx-malicious-package
[ 9 ] OpenAI Threat Intelligence. " Disrupting malicious uses of AI: an update " . OpenAI, Oct 8, 2025. https://openai.com/global-affairs/disrupting-malicious-uses-of-ai-october-2025/
策划制作
作者丨田威 AI 工具研究者
审核丨于乃功 北京工业大学教授 中国人工智能学会理事
策划丨张林林
责编丨杨雅萍
相关推荐
1.近 1 亿中国人的肺正在走向"死亡",很多人却根本意识不到!一个方法就能避免
2.走路和跑步,哪个更延寿,对血管更好?答案令人意外
3."老而不死"是什么感觉?地球上能返老还童的不死生物,居然真的存在!已知唯一!
4.不骗你!抱着冬瓜睡觉,真的能防暑,但建议……
5.长期睡不够,身体会发生什么可怕变化?看完再也不敢熬夜了!
本文封面图片及文内图片来自版权图库
转载使用可能引发版权纠纷
原创图文转载请后台回复"转载"
点亮"推荐"
一起涨知识!
炒股成功案例
元股证券配资-官方入口提示:本文来自互联网,不代表本网站观点。