文章总结： CheckPointResearch发现MicrosoftCopilot和xAIGrok等AI助手的网页浏览功能可被恶意软件操控，沦为隐蔽的命令与控制（C2）中继。攻击者通过隐藏浏览器窗口访问AI服务，利用精心构造的提示词诱导AI代理向攻击者控制的URL发起请求，实现数据外泄和指令下达，且无需身份验证。这标志着网络攻击从AI辅助开发转向AI融入运行时的根本性转变，对传统安全防御构成严峻挑战。建议企业监控AI服务异常访问模式、更新端点检测策略，并协同AI服务提供商强化安全控制。 综合评分： 85 文章分类： AI安全,恶意软件,威胁情报,网络安全,渗透测试

AI助手沦为“帮凶”——Copilot和Grok被滥用作恶意软件C2代理

原创

网空闲话 网空闲话

网空闲话plus

2026年2月18日 09:17 四川

人工智能深度融入企业日常运营的今天，AI助手已成为员工不可或缺的生产力工具。然而，2026年2月17日，网络安全界的一项重磅发现为这种依赖敲响了警钟：Check Point Research（CPR）研究人员证实，Microsoft Copilot和xAI Grok等AI助手的网页浏览功能可被恶意软件操控，沦为隐蔽的命令与控制（C2）中继。这一发现不仅揭示了一种全新的攻击途径，更预示着网络攻击技术正在从“AI辅助开发”向“AI融入运行时”的根本性转变，使传统的安全防御面临严峻挑战。

一、颠覆性的攻击手法：将AI变为C2代理

传统的C2通信往往依赖HTTP、DNS或各类云服务，防御者已建立起相对成熟的检测机制。然而，将AI助手作为C2代理的思路彻底颠覆了这一格局——攻击者的流量不再需要与恶意域名通信，而是直接流向日常工作中广泛使用、通常被企业默认放行的AI服务网站。

1、核心技术原理

攻击者设想的场景如下：一台计算机已被植入恶意软件，该软件不再直接连接攻击者控制的服务器，而是在后台打开一个隐藏的浏览器窗口，访问Copilot或Grok的Web界面。通过精心构造的提示词，恶意软件诱导AI代理向攻击者控制的URL发起HTTP(S)请求。该URL返回的内容（伪装成猫咪品种对比表或其他无害信息）经由AI的摘要响应，最终回到恶意软件手中，由恶意软件解析并执行其中嵌入的命令。

这是一个完美的双向通道：受害者的数据可以通过URL查询参数附加在请求中发送给攻击者（数据外泄），攻击者的命令则通过AI的响应流回受害者（指令下达）。整个过程中，恶意流量完全融入了合法的AI服务流量之中。

图 1 – 恶意软件利用 AI Webchat 与 C2 服务器通信的拟议流程

2、两大关键突破

CPR的研究团队验证了这一攻击手法的可行性，并确认了两个关键前提的成立：

第一，无需身份验证。 Copilot和Grok均允许未注册用户通过Web界面直接使用。这意味着传统的终止开关——撤销API密钥、封禁账户、暂停租户——在此完全失效。攻击者无需维护任何账号，也就没有任何可被封禁的对象。

第二，任意网页抓取与内容返回。 两款AI助手均能正常获取攻击者搭建的HTTPS网站内容，并将其摘要返回给用户。研究人员注册了一个暹罗猫爱好者俱乐部域名，搭建了一个看似无害的猫咪品种对比页面。当特定URL参数存在时，页面会动态显示一列“猫咪最喜欢的Windows命令”。AI助手忠实地获取了该页面，并将这些命令返回给了恶意软件的概念验证程序。

3、从浏览器到恶意软件的落地实现

将这一技术在真实浏览器中验证可行只是第一步，如何将其植入恶意软件才是关键。CPR团队选择C++作为实现语言，并给自己设定了一个限制：不使用直接API密钥，也不发送可能触发速率限制或验证码的原始HTTP请求。

解决方案是使用WebView2——一个预装在Windows 11及通过更新广泛推广到最新Windows 10系统中的嵌入式浏览器组件。该组件允许原生应用程序显示Web内容并与之交互，且行为完全模拟真实浏览器。

概念验证程序的工作流程如下：

枚举受感染机器的基本信息

将该信息附加到攻击者控制的C2网站URL参数中

打开一个隐藏的WebView窗口，访问Copilot或Grok

自动向AI提交提示词，要求其“总结”该URL

解析AI的响应，提取并执行其中嵌入的命令

整个过程中，用户毫无察觉。WebView窗口可以设置为隐藏状态，所有交互均在后台自动完成。CPR团队成功演示了通过这一通道执行计算器程序（作为命令执行的示例），证明了端到端通信的可行性。

二、TTP演进：从“辅助开发”到“运行时集成”

理解这项技术的颠覆性，需要将其置于AI与网络攻击融合的宏观演进脉络中审视。

第一阶段：AI作为开发助手

在过去的一段时间里，威胁行为者主要将AI用于攻击生命周期的前期阶段：生成和优化恶意代码、编写钓鱼邮件、翻译诱饵内容、生成PowerShell脚本片段、汇总窃取的数据。AI降低了攻击门槛，使低技能攻击者也能执行复杂操作，但本质上仍是“工具”而非“组件”。

第二阶段：AI作为C2中继

CPR发现的这项技术将AI推向了攻击链的核心环节——命令与控制。AI服务不再仅仅是攻击者开发时使用的工具，而是成为了恶意软件运行时通信链路的一部分。这种集成带来了双重优势：

隐蔽性：AI域名（如copilot.microsoft.com、grok.com）通常被企业默认列入允许列表，因为它们是合法生产力工具。恶意流量混杂在其中，极难被传统流量检测机制识别。

持久性：无需维护C2域名或IP，无需担心被封禁。只要AI服务本身可用，这条C2通道就持续存在。

第三阶段：AI作为决策引擎

CPR研究团队进一步指出，一旦AI服务可以作为传输层，同样的接口完全可以承载更深层次的交互——将AI作为恶意软件的“远程大脑”。这预示着人工智能驱动（AI-Driven，简称AID）恶意软件的兴起。

在AID恶意软件模型中，植入程序不再依赖硬编码的决策树逻辑。相反，它会收集主机的上下文信息——用户名、域名、已安装软件、运行的进程、地理位置、安全软件状态等——打包发送给AI模型，然后根据模型的输出决定下一步行动。AI的响应可能包括：该系统是否为沙箱环境、是否值得继续利用、应该优先窃取哪些文件、如何横向移动而不触发警报。

这种模式使恶意软件的行为具备了前所未有的适应性。每一次感染都可能呈现不同的行为模式，因为AI会根据具体环境“定制”攻击路径。传统的基于特征码的检测机制将面临严峻挑战，因为可重复的模式将大幅减少。

图 2 – 从 C2 服务器成功执行命令，在 WebView 窗口中执行计算的过程。

三、未来威胁图景：AI驱动的攻击活动

基于上述技术基础，CPR勾勒出未来AI驱动攻击活动的几大可能形态，这些不再是科幻想象，而是基于现有技术趋势的合理推演。

1、AI反沙箱与环境验证

当前大多数恶意软件都会收集系统信息以判断是否运行在沙箱或分析环境中。未来，这一判断可能外包给AI模型。恶意软件将收集到的环境信息发送给AI服务，由AI综合分析后返回“是否真实目标”的判断。只有在AI确认当前环境是真实受害者而非分析师环境后，恶意软件才会释放全部恶意功能。

这将导致自动化分析工具面临困境：恶意软件可能在沙箱中始终保持休眠状态，因为远程AI模型从未“批准”其执行。传统的动态分析流程可能完全失效。

2、智能化的C2分类

AI同样可以应用于C2服务器端。当大量受害主机回连时，AI可以自动对它们进行分类和优先级排序。明显具有沙箱特征的主机被排除，不接收后续有效载荷；含有大量PII（个人身份信息）的高价值受害者被标记为优先处理对象，接收定制化的后续指令；低价值受害者可能仅被部署简单的挖矿程序，避免浪费攻击资源。

这种智能分类使攻击活动能够以最小投入获取最大回报，同时降低了整体暴露风险。

3、精准勒索与数据窃取

当前勒索软件的一个检测指标是文件加密的速率和数量——加密大量文件会触发I/O事件告警。AI驱动的勒索软件可以彻底改变这一局面：通过对文件内容、元数据进行分析，AI模型可以精确定位少量高价值文件（关键数据库、业务文档、加密密钥），仅加密这些文件即可达到勒索目的。

同样，数据窃取也可以更加精准。与其盲目窃取大量数据（其中包含大量无用信息），AI可以帮助攻击者筛选出真正敏感的商业机密、技术图纸或机密报告，大幅提升攻击效率的同时降低被检测概率。

图 3 – 未来 AI 驱动的恶意软件活动AIOps-C&C。

四、防御警示：重新审视AI服务的信任边界

这项研究的价值不仅在于揭示了一种新型攻击技术，更在于向防御者敲响了警钟：AI服务正在成为攻击者可以利用的基础设施，传统的信任假设需要被重新审视。

1、对AI服务提供商的要求

CPR研究人员负责任地向微软和xAI安全团队披露了其发现。从服务提供商角度，需要采取的缓解措施包括：

强化网页抓取功能的安全控制：对URL获取行为增加更多限制和审核

强制或默认要求身份验证：使匿名滥用变得困难

为企业用户提供更细粒度的控制能力：允许企业管理员对模型访问外部URL的方式施加策略

2、对企业和防御者的建议

对于企业安全团队而言，这项技术意味着需要将AI域名纳入高价值监控范围：

监控异常使用模式：关注内部系统对AI服务的访问模式。单一IP频繁向AI服务提交包含外部URL的提示词，或在非工作时间存在大量自动化交互，可能是恶意活动的迹象。

将AI流量纳入威胁狩猎范围：传统的威胁狩猎往往关注非标准端口、可疑域名，如今需要将视野扩展到AI服务流量。分析AI交互的内容特征、URL参数模式，有助于发现隐藏其中的C2通信。

更新端点检测策略：监控WebView2等嵌入式浏览器组件的非预期使用。虽然这些组件有合法用途，但结合其他异常行为（如隐藏窗口、后台自动化交互）可作为检测指标。

教育员工与更新安全意识：让员工了解AI工具可能被滥用的风险，避免在工作设备上随意测试可疑提示词或访问来路不明的URL。

结语

将Copilot和Grok变为C2代理，这一发现标志着AI安全进入了一个新阶段：AI系统不仅是需要保护的对象，它们本身可能成为攻击链的一环。对于防御者而言，这意味着需要建立新的思维框架——当合法服务可以被武器化，当日常流量可能隐藏着C2通道，传统的基于“允许列表”的安全模型需要被更精细的行为分析所补充。值得注意的是，这属于服务滥用问题，而非传统的内存损坏漏洞。因此，缓解措施需要AI提供商与防御者协同调整。正如CPR研究人员所言：“了解这些系统如今可能被滥用的方式，是加强其未来安全性的第一步，也是确保AI对防御者而非试图隐藏在其背后的恶意软件更有价值的第一步。”在这场AI与安全的博弈中，保持警惕、持续创新，是防御者唯一的选择。

参考资源

1、https://research.checkpoint.com/2026/ai-in-the-middle-turning-web-based-ai-services-into-c2-proxies-the-future-of-ai-driven-attacks/

2、https://thehackernews.com/2026/02/researchers-show-copilot-and-grok-can.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《AI助手沦为“帮凶”——Copilot和Grok被滥用作恶意软件C2代理》