文章总结： 2025年混沌通信大会演示揭示，攻击者利用不可见文本对ClaudeCode等AI助手实施零点击劫持。因AI代理权限过高且缺乏隔离，引发严重代码执行与供应链污染风险。防御需采纳假定失陷思维，执行最小权限、外部沙箱隔离及确定性策略管控，禁用自动批准模式，构建韧性安全体系。 综合评分： 88 文章分类： AI安全,漏洞分析,供应链安全,安全建设

零点击入侵：AI编码助手成为自动化攻击的“扳机”

原创

网空闲话

网空闲话plus

2025年12月31日 08:05 北京

随着Claude Code、GitHub Copilot等AI编码代理深度集成到开发环境，一种隐蔽性极强的新型安全威胁正在浮现。2025年底混沌通信大会上的演示揭示，攻击者无需诱骗用户点击，仅通过网页或文档中一行不可见的文本，即可完全控制接入AI助手的电脑。这标志着安全战场已从传统的社会工程学，延伸至对人类“数字延伸体”——AI代理的劫持。

背景简介

2025年12月28日德国混沌通信大会上，信息安全专家约翰·雷伯格进行了突破性演示：攻击者仅需在网页中嵌入一行人眼不可见的文本，即可完全劫持Claude Code等AI编码助手，在其使用者毫无察觉的情况下，自动化完成下载恶意软件、执行命令直至将设备接入僵尸网络的全过程，实现“零点击”入侵。

他由此提出“僵尸AI” 与 “AI ClickFix” 等概念，揭示威胁可自动化、规模化演进。演示证明，当前AI代理因过度信任其自主性且缺乏系统级隔离，存在架构性安全缺陷。

雷伯格警告，任何赋予AI计算机控制权的系统都应被视为已失陷，呼吁必须转向“最小权限”原则，并通过外部沙箱等强制措施进行防御重构。

从“提示注入”到“僵尸AI”的自动化攻击链

威胁的核心在于 “提示注入” ：攻击者将恶意指令隐藏于正常文本中，AI代理在解读时将其视为合法任务执行。信息安全专家约翰·雷伯格的演示展现了完整的攻击链：

隐蔽注入：利用如“ASCII Smuggler”等工具，在网页或代码注释中插入人眼不可见但AI可读的指令。

自动执行：当开发者使用集成AI的IDE（如VS Code）浏览时，代理（如Claude Code）会自动执行隐藏指令，完成“下载文件→设为可执行→启动终端→连接僵尸网络”的全过程，用户无任何感知。

战术进化：攻击正与高级威胁策略融合。雷伯格提出的 “AI ClickFix” ，将诱骗用户执行命令的技术适配于AI，利用其“修复系统”的意图达成攻击。更前沿的 “AgentHopper”病毒 概念显示，恶意提示可被植入代码库，在AI代理处理项目时被复制并传播至其他项目，形成在AI协作网络中自我复制的“病毒”。

系统性设计缺陷与迟滞的生态响应

此类漏洞并非偶发，而是多重系统性缺陷的必然结果：

悖论性的信任模型：系统依赖一个本身不可预测的概率模型（LLM）来做出是否执行高危命令的“信任决策”，缺乏确定性的安全规则层进行意图审核。

沙箱隔离的普遍缺失：为获得强大功能，许多AI代理被授予过高系统权限，却未运行于有效的容器或沙箱中。雷伯格指出，拥有计算机控制权的AI代理，其宿主设备应被视为已失陷。

危险的“YOLO模式”与薄弱控制：为追求流畅体验，许多工具提供减少用户确认的“自动批准”模式（如修改Amazon Q的chat.tools.autoApprove设置）。这实质上关闭了关键的安全闸门。

响应滞后与固有漏洞：雷伯格在2025年8月“AI漏洞月”向主流厂商报告了20多个漏洞，回应不一。某些漏洞被厂商视为智能体逻辑固有且难以彻底修补，这迫使防御必须转向“假定失陷”思维。

从数据泄露到供应链污染的多维破坏

成功的攻击可导致严重后果：

数据完全泄露：代理能读取项目内所有文件（含令牌、密钥），并应攻击者要求外泄。

任意代码执行：代理成为攻击者的自动投递工具，可在受害机器上部署勒索软件、窃密木马等。

系统完整性破坏：可执行命令关闭安全软件、篡改配置、建立持久化后门。

供应链级污染：结合“AgentHopper”式传播，单个受污染代码库可能通过AI代理的协作，将风险扩散至无数下游项目。

从“完全信任”到“最小权限”与“主动遏制”

面对架构级威胁，传统防护部分失效，防御范式需根本性转变：

核心原则：假定失陷与最小权限：必须摒弃对AI输出的完全信任，始终假定其运行环境可能被攻破。据此，严格执行最小权限原则，严格限制其可访问的路径、网络和命令列表。

实施外部强制控制：在AI与系统间插入确定性策略层。所有命令需经基于明确规则（允许/拒绝列表）的引擎检查，高危操作强制人工审批。同时，使用容器或虚拟机进行强隔离，限制潜在破坏范围。

强化监控与安全实践：全面记录代理的所有工具调用和文件访问，用于审计与威胁检测。开发者应审慎启用“自动批准”功能，并意识到外部内容（网页、开源代码）都可能成为注入载体。

结论

AI编码代理的威胁本质，是将其强大的自动化能力通过提示注入“武器化”。攻击正变得自动化、零点击、规模化。我们并非要拒绝这项技术，但必须清醒认识到：将系统控制权交付给一个内在不确定的模型，等同于打开了新的风险维度。未来的安全不在于构建“完美”的AI，而在于构建即使AI被成功误导，也能通过外部硬性约束和隔离将损失降至最低的韧性体系。这场赛跑中，安全意识与架构前瞻性，将是唯一的护城河。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话《零点击入侵：AI编码助手成为自动化攻击的“扳机”》