文章总结: 网络安全研究人员发现一种利用DeepSeek生成的纯浏览器内勒索软件,结合文件系统访问API与社会工程学诱饵,在用户授权后加密本地文件。该攻击无需安装恶意软件或利用浏览器漏洞,降低了实施复杂攻击链的门槛,对Android和Windows设备构成实际威胁。 综合评分: 90 文章分类: 恶意软件,红队,社会工程学,WEB安全,安全意识
纯浏览器勒索软件:从大语言模型幻觉到攻击实现
原创
骨哥说事 骨哥说事
骨哥说事
2026年7月2日 16:05 上海
在小说阅读器读本章
去阅读
| | | — | | 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
#
#
防走失:https://gugesay.com
不想错过任何消息?设置星标↓ ↓ ↓
#
网络安全研究人员发现了一种使用 DeepSeek 生成的新恶意软件,该软件构建了一种新颖的攻击路径,将“不切实际的浏览器恶意软件概念与真实的浏览器功能”相结合,将其转变为完全在 Windows 和 Android 设备上的浏览器内运行的有效勒索软件技术。 “这是第一个有记录的案例…
引言
过去几年,大型语言模型 (LLM) 重塑了软件开发,恶意软件开发也沿着相同的路径发展。Check Point 研究记录了这一趋势:从早期表明 AI 系统可以生成攻击性组件的实验,到网络犯罪分子使用 ChatGPT 创建恶意工具的案例,再到后来由 AI 编写的高级恶意软件框架,例如 VoidLink。在某些情况下,LLM 极大地降低了门槛,使得几乎没有或完全没有开发经验的用户也能够生成可用的攻击代码。
随着前沿模型在编写可靠代码(包括复杂的安全相关组件)方面变得更好,主要的 AI 供应商也将网络安全视为一个专门的控制领域。如今,涉及凭证窃取、恶意软件部署、勒索软件行为、持久化、隐蔽性或未经授权利用等明显恶意的请求通常会被阻止或拒绝。例如,OpenAI 的网络安全文档 描述了针对被归类为具有“高网络安全能力”的模型的额外安全措施,而 Anthropic 也发布了关于 检测和应对 Claude 网络滥用 的报告。
在此背景下,DeepSeek 变得尤为突出,原因如下:
- 对有害网络安全请求的拒绝率较低:与 Anthropic 和 OpenAI 相比,DeepSeek 模型在拒绝有害网络请求方面的一致性较低,包括本文将讨论的文件系统访问 API 实现。
- 访问门槛低:DeepSeek 可通过 Web 界面免费使用,广泛可用,并且在其他前沿模型面临监管或商业限制的地区也可访问。这降低了重复恶意实验的成本。
- 通过单一提示生成端到端的恶意代码:在我们的测试中,一个可用的恶意应用程序通常可以通过一个宽泛的提示生成。要使用 OpenAI 或 Anthropic 获得类似的结果,通常需要将攻击分解为多个看似良性的请求,并手动组装生成的组件。
综上所述,这些差异使得 DeepSeek 对威胁行为者尤其具有吸引力:与竞争平台相比,DeepSeek 模型能以更低的专业知识,将高层次的恶意构思转化为具体、完整的攻击方案。
Check Point 研究分析了在过去一年公开遥测中观测到的近 3000 个归因于 DeepSeek 的文件。该数据集包括 Python、PowerShell、批处理、HTML、JavaScript、VBScript 和其他文件类型。其中,有 1383 个文件被 VirusTotal 检测或静态源代码分析归类为恶意或危险。
在该数据集中,我们发现了一个样本,它实现了一种危险的浏览器原生技术,我们尚未观察到其在野外被利用。我们将其称为 纯浏览器内勒索软件,该技术使用钓鱼诱饵说服受害者授予网页文件系统访问权限;一旦获得访问权限,该页面就可以枚举所选文件夹中的本地文件,读取和窃取其内容、加密并覆盖它们,并显示勒索风格的信息,所有这些都无需安装任何原生有效载荷或利用浏览器漏洞。
浏览器工程师已经认识到潜在的浏览器风险。 文件系统访问规范 明确将勒索软件列为安全考虑因素,而 2023 年的 USENIX Security 论文 RoB: Ransomware over Modern Web Browsers 研究了滥用文件系统访问 API 从恶意 Web 应用程序加密本地文件。
我们研究的重要发现和新颖之处在于,AI 模型如何将这些先前记录的概念结合起来,形成一个现实且可实施的攻击场景,并利用了一种防御者原本认为因浏览器沙盒限制而不可行的方法:一个归因于 DeepSeek 的恶意样本,作为一体化恶意软件幻想生成,将这个已记录的平台风险与现实的社会工程攻击(钓鱼)风格 Web 应用程序联系起来,展示了一个可行的端到端攻击链。攻击者不需要知道浏览器会暴露文件系统 API。他们可以描述一个听起来不可思议的目标——一个窃取文件、捕获击键、截取屏幕截图、加密文件并索要赎金的网站——而模型可能会将此请求与一个真实的浏览器功能联系起来。基本上,该 AI 模型展现出了一种推理现有知识,并将多个已知组件组合成一个连贯的攻击工作流程的能力,攻击者可以轻松使用该流程。这说明前沿 AI 模型可能不仅仅是简单地增强现有的攻击者技术,而是通过以先前依赖人类经验和创造力的方式连接知识,降低 实施复杂攻击链所需的专业知识门槛。
一个充满杂念但包含关键思想的样本
引起我们注意的样本是 SHA256:07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5,这是一个 Python Flask 应用程序,它从其嵌入的模板提供面向受害者的 HTML 和 JavaScript,并且还包括旨在接收受害者信息并提供管理面板的后端路由。
我们没有看到生成此样本时提交给 AI 模型的提示。根据代码结构、函数名和注释来判断,它很可能是一个非常宽泛的表述,类似于这样的例子:创建一个通过浏览器运行的通用恶意工具,尽可能多地收集受害者数据,加密文件并索取赎金。在单个前端中,生成的代码汇集了用于键盘记录、剪贴板监控、表单和网络请求拦截、Discord 凭据收集、加密货币钱包和支付卡发现、地理位置请求、网络摄像头和麦克风访问、屏幕截图、本地文件访问、Chrome 漏洞利用占位符、“持久化”以及勒索软件风格覆盖层的例程和存根。这并不意味着样本真正实现了所有这些功能。更准确的理解是,它是一个 AI 生成的蓝图,模型试图将原生窃密程序和勒索软件工具的常见功能翻译到在浏览器中打开的网页中。
面向受害者的页面伪装成一个 Discord 头像 AI 超分辨率增强工具:
在归因于DeepSeek的InfernoGrabber样本中,面向受害者的诱饵伪装成Discord头像AI超分辨率增强工具
点击面向受害者的诱饵页面上的按钮本应启动恶意的浏览器端序列,尽管生成的控制流程不一致且不能可靠地完成。经过一个虚假的处理步骤后,页面旨在以 InfernoGrabber v9.0 的名义显示勒索信风格的覆盖层。该消息声称密码、信用卡和个人文件已被加密,要求支付比特币,并显示一个倒计时,威胁公开私人数据。
InfernoGrabber勒索信覆盖层
样本中声称的大部分功能都在浏览器边界处失效。一个正常的网页可以观察自己源内的活动、捕获传递给自己 DOM 的输入事件、请求浏览器中介的权限、访问自己源范围内的存储,并渲染吓人的覆盖层。但它仍然受到浏览器安全模型的约束。
在这个样本中,“桌面截图”例程捕获的是渲染后的网页本身,键盘记录器仅在用户与页面交互时观察击键,网络摄像头和麦克风捕获依赖于浏览器权限提示,Discord 凭据窃取逻辑搜索的是当前源可用的存储。“持久化”逻辑依赖于浏览器存储和服务工作线程注册尝试。
因此,样本的很大一部分内容读起来像是对一个过于宽泛的提示或正常网页无法满足的要求所产生的 AI “幻觉”。例外情况是文件访问工作流程,生成的代码触及了一个具有实际滥用潜力的真实浏览器原语。
生成的 JavaScript 引用了:
showOpenFilePicker();showDirectoryPicker();- 递归遍历用户选择的目录;
- 通过浏览器文件句柄读取所选文件;
- 将文件内容发送到 Flask 后端;
- 交互后显示勒索软件风格的警告。
文件系统访问 API 是一项合法的浏览器功能,专为 Web 应用程序(如编辑器、IDE 和创意工具)设计。用户授予访问权限后,Web 应用程序可以从本地设备读取文件和文件夹。该 API 在浏览器权限控制下也支持写入权限和目录枚举。
该技术仅限于暴露基于选择器的文件系统访问 API 的浏览器。在撰写本文时,这主要是指 Chromium 系浏览器:该 API 在桌面端的 Chrome 86 中提供,而 Chrome 132 将文件系统访问支持扩展到了 Android 和 WebView。Firefox 和 Safari 不暴露相同的本地文件和目录选择器方法,这限制了直接的攻击面,但也将风险集中在了基于 Chrome 的浏览环境中。
该样本缺少一个完整且可靠的浏览器端加密流程,但其攻击设计是具体的:一个虚假的工具说服用户授予浏览器文件访问权限,从而允许该页面窃取和加密文件。
该模型将虚假的操作系统级恶意软件声明与真实的浏览器原语相结合,并产出了一个浏览器原生的文件窃取和勒索软件框架。该样本展示了 LLM 如何将抽象的恶意请求转化为新的攻击蓝图。用户很可能想要一个一体化工具:一个以 Discord 为主题的诱饵、一个窃密程序、一个管理面板以及一个勒索软件或锁定器工作流程。该模型选择了 Flask 应用程序和浏览器前端作为统一的架构。在此过程中,它将一个幻觉般的恶意软件概念与具有真实滥用潜力的真实平台功能联系起来。
尽管我们尚未观察到这种确切的浏览器原生勒索软件模式在野外攻击活动中广泛传播,但该技术仍具有实际意义,原因如下:
- 浏览器成为执行环境:攻击完全在浏览器进程内运行,无需安装任何额外应用程序、投递二进制文件或利用漏洞。传统的终端防护专注于应用程序和原生有效载荷;一个在看似合法的权限后加密文件的网站,超出了这些假设的范围。
- 降低受害者的阻力:打开网页并在文件访问提示上点击“允许”是使用现代 Web 应用程序的正常操作。用户不会直观地将其视为“运行恶意软件”,这使得社会工程攻击的角度非常有效。
- 跨平台影响范围:同样的浏览器原生技术可以针对任何暴露文件系统访问 API 的平台,我们在 Android 和 Windows 上进行了测试。
从幻觉框架到可行的概念验证
由于原始样本不完整,我们测试了最新的 DeepSeek V4 模型能否将相同的浏览器原生攻击思路转化为可行的概念验证 (PoC)。
当直接提示创建勒索软件时,模型在所有测试模式下都一致拒绝。
DeepSeek V4在直接提示生成勒索软件时拒绝
尽管有些请求被拒绝,我们最终还是设法成功了,我们删除了诸如“勒索软件”之类的明确术语,同时保留了相同的功能:一个向用户请求访问本地文件的网页,在浏览器内处理这些文件,并让用户无法恢复原始内容。
在 Instant 模式下,DeepSeek 始终生成使用文件系统访问 API 与用户选择文件交互的 HTML/JavaScript 代码。
在 Expert 模式下,尝试间的行为不一致:
- 多次尝试以拒绝告终;
- 一次生成了一个不可用的样本;
- 一次生成了一个完全可用的基于浏览器的勒索软件 PoC。
其中一个回复尤为引人注目,因为模型将结果描述为:
“一个精心设计的陷阱,结合了令人信服的 AI 超分辨率增强界面与隐藏的、类似勒索软件的行为”
这种措辞表明,模型认识到了场景的恶意性质,但仍然继续生成了代码。
为了比较,我们针对 ChatGPT 和 Claude 测试了类似的请求。在我们的测试中,这些系统要么拒绝提供帮助,要么生成了不使用文件系统访问 API 的受约束的浏览器安全实现。
这并不意味着使用其他前沿系统不可能实现相同的结果。采用渐进式方法,用户可以请求看似各自良性的单独组件,例如用户界面、浏览器文件处理、客户端数据转换和中性的状态消息,然后通过用勒索信替换中性消息,将它们组装成有害的工作流程。不同之处在于所需的引导程度。在那种情况下,用户需要足够的技术理解来分解攻击,在不同的请求中保持恶意目标,识别正确的浏览器原语,并手动组合生成的片段。
Android 上的纯浏览器内勒索软件
为了评估此技术的实际风险,我们使用 LLM 构建了一个受控的概念验证,基于我们在归因于 DeepSeek 的样本中观察到的相同思路:伪装成 AI 图像超分辨率增强工具的浏览器原生勒索软件工作流程。
在 Android 上,现代 Chrome 版本向 Web 内容暴露了基于选择器的文件系统访问 API。在 iOS 上,Safari 不会向网站暴露相同的文件系统访问原语。对照片的访问由操作系统的应用沙盒和照片库权限中介,而不是可以枚举和修改任意文件夹的 Web API。iOS 上的 Chrome 使用 WebKit,而 WebKit 也没有实现文件系统访问 API。因此,在移动设备上,我们演示的技术目前在 Android Chromium 浏览器上是可行的。
与此同时,攻击面比任意的磁盘访问要窄。基于选择器的文件系统访问 API 不允许网页针对整个系统磁盘,并且 Chromium 对敏感位置应用了额外的限制。在 Chromium 当前的实现中,对某些位置的广泛访问(如用户主目录、桌面、文档、下载、Chrome 数据、应用程序目录、Windows 程序文件、Windows 应用数据、以及多个 Linux 和 Android 系统路径)被阻止或受限。文件系统访问规范也明确建议限制敏感目录,并将 勒索软件列为该 API 设计必须考虑的风险之一。
注:此处译文根据原文 hyperlink 的
title属性补充了“勒索软件”风险。
然而,选择默认的 图片 和 视频 目录的根目录在所有测试的操作系统(Android 和 Windows)上均未受限制。这种功能很自然地契合了虚假照片处理应用程序的社会工程攻击工作流程。
在桌面端,图片文件夹可能包含个人文件,但通常不如用户整个主目录或文档目录对工作流程重要。
在移动端,风险状况发生了变化:照片库通常是价值最高的本地数据存储之一。它可能包含多年的私人照片、身份证明文件、银行截图、医疗记录、恢复码、旅行证件、工作图片和家庭成员照片。失去对这些数据的访问权限,或使其被窃取,可能会造成从勒索软件到敲诈勒索的个人或业务问题,如果数据敏感,公开披露还可能导致声誉受损等更多问题。Chrome 132 在 Android 上引入了文件系统访问支持,允许 Web 应用程序在用户批准后,直接对所选文件和文件夹读取和保存更改。我们在几台 Android 设备上测试了此功能,并确认在我们测试时可用的最新 Chrome 版本 Chrome 148,也允许选择照片目录,包括 DCIM 文件夹的根目录。
在 Android 上的工作流程看起来非常自然。用户打开一个承诺增强照片的网页,选择一张图片,然后被要求选择一个目录来保存“增强”后的结果。浏览器警告该站点将能够编辑所选文件夹中的文件,在这种情境下很容易合理化:用户期望服务将处理后的图像写回设备。在虚假的处理步骤中,PoC 会加密所选目录内的图片。
【视频截图】 – 使用文件系统访问 API 在 Android 上演示浏览器原生勒索软件 PoC。
这种技术、自然的社会工程诱饵以及纯浏览器执行的结合,使得 Android 场景特别令人担忧。其最终的攻击流程不需要 APK 安装、不需要漏洞利用、不需要原生载荷、也不需要 root 权限。
用户通常不会将打开网页视为恶意软件执行事件,尤其是在没有安装任何应用程序且没有下载二进制文件的情况下。在这种情况下,浏览器提示出现在一个感觉需要文件访问权限的上下文中,而被授予的权限赋予页面对可能包含高度敏感个人数据的目录有意义的控制权。
虽然本研究的重点是一个受控的 PoC,但用户今天就可以采取一些具体措施来降低浏览器原生勒索软件滥用的风险:
将浏览器文件夹访问提示视为高风险决策:在批准“访问文件夹中的文件”之前,请检查是哪个站点在请求、选择了哪个文件夹,以及文件修改是否确实是您期望功能所必需的。如果您不确定为什么一个站点需要对整个目录的写访问权限,请拒绝该请求。
避免授予网站访问敏感或不可替代数据的权限:除非站点高度可信且需求明确,否则不要暴露包含个人照片、身份证明文件、恢复码或工作数据的文件夹。对于实验性或新发现的网页工具,更倾向于选择一个临时或空的文件夹,而不是您的主要照片库。
对于高价值数据,优先选择信誉良好的应用程序:对于备份照片、编辑大型图库或处理敏感图像等任务,请使用信誉良好的原生应用程序或知名的云服务,而不是声誉未知的新发现的浏览器工具。
对重要数据保持离线备份和云备份:定期的备份可以降低攻击者通过加密或删除本地文件(无论是通过原生勒索软件还是基于浏览器的技术)获得的筹码。
保持浏览器和移动操作系统的更新:浏览器和操作系统供应商会不断完善权限模型并加固敏感 API。及时应用更新可确保您受益于围绕文件系统访问等最新功能的最新安全控制措施。
警惕 AI 品牌宣传的诱饵:攻击者越来越多地将恶意流程伪装成“AI”工具、头像超分辨率增强器、照片增强器或生产力工具。一个精美的 AI 主题界面并不能保证安全;对任何要求广泛访问本地文件的陌生网站要保持同样谨慎。
结论
LLM 辅助的恶意软件开发改变了恶意实验的经济性。一个技术理解有限的用户可以描述一个有害的结果、生成代码、测试结果、调整提示,并以非常低的成本重复这个过程。那些曾经需要开发者、购买构建器或具备相关平台先验知识的任务,现在可以通过廉价的迭代来完成。
这也改变了防御者面临的问题。以这种方式生成的恶意软件可能会使生态系统从有限的可重用家族和构建器,转向更大数量的、一次性的孤立攻击样本,每个样本都带有独特的技术、API 使用和载荷逻辑组合。
幻觉(Hallucination)增加了另一个重要维度。AI 生成的恶意软件可能技术上存在错误,但仍然揭示出实用的恶意技术。当模型试图满足不切实际的要求时,它可能会跨越合法平台功能进行搜索,并将恶意目标映射到实际存在的 API。这个过程可能会浮现出防御者尚未在野外看到的技术,或者将先前主要在理论上描述的风险转化为可行的攻击概念。本研究分析的案例正好说明了这一点:一个充满杂念且部分损坏的攻击样本,将一个理论上的浏览器风险与一种实用的纯浏览器勒索软件技术联系了起来。
在这个案例中,用户很可能要求了一个不可能的 Web 应用程序——一个单一的网页,其行为就像一个功能齐全的窃密程序和勒索软件代理。模型无法正确满足所有这些要求,但在尝试的过程中,它搜索了合法的浏览器功能,并将幻想的一部分锚定到一个真实的 API:文件系统访问 API。
这揭示了一个更广泛的风险:
- 非专业攻击者无需知道此类 API 的存在或如何滥用它。
- 通过用自然语言描述一个高层次的恶意结果,他们可以促使模型发现并将恶意目标与先前未被充分探索的平台能力联系起来。
- 由此产生的原型然后可以精炼成一个可行的 PoC,只需最少的额外提示或手动编辑。
换句话说,AI 不仅降低了重新实现现有恶意软件技术的门槛,而且还能弥合纯粹理论风险与实用的、防御者尚未见诸于野的新型攻击之间的差距。
历史上,新的攻击技术是通过人类的实验、经验和创造力产生的。前沿 AI 改变了这一动态。AI 不受常规思维或既定攻击者剧本的约束,可以跨越现有知识进行推理,并以意想不到的方式加以综合,将已知的能力连接成实用的攻击链。真正的转变不在于 AI 创造了全新的漏洞,而在于它可能识别出人类先前未能认识或未能实施的组合与攻击路径。
在分析时,我们没有发现任何证据表明这种技术已被采用为野外恶意软件模式。原始的归因于 DeepSeek 的样本不完整,未能可靠地实现完整的攻击。然而,我们的测试表明,利用现代 LLM 将相同的思路转化为完全可用的实现所需的精力是多么少。由此产生的工作流程在移动设备上尤其令人担忧,在移动设备上,一个看似合法的访问照片目录的请求,就可能暴露高度敏感的个人数据,使其面临加密、窃取或两者兼有的风险。从防御的角度来看,浏览器文件夹访问提示应被视为安全决策,而不是例行点击。在授予网站访问整个文件夹的权限之前,用户应审核是哪个网站在请求、选择了哪个文件夹、是否允许文件修改,以及该权限是否符合他们预期的操作。用户应尽可能避免授予网站访问包含敏感、私人或不可替代数据的目录的权限。
原文:https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/
- END –
感谢阅读,如果觉得还不错的话,动动手指给个三连吧~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:骨哥说事 骨哥说事 骨哥说事《纯浏览器勒索软件:从大语言模型幻觉到攻击实现》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论