当AI幻觉照进现实:一种从未见过的浏览器勒索攻击正在诞生

admin 2026-07-05 06:00:56 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档揭示了一种新型浏览器勒索攻击技术,利用AI生成的代码结合FileSystemAccessAPI,在用户授权后加密本地文件。攻击者通过伪装成AI图片处理工具诱导用户授权文件夹访问权限,特别在Android设备上风险更高,可加密相册内容。研究显示AI降低了攻击创新门槛,使理论风险转化为可行方案。建议用户谨慎授权浏览器文件夹访问,保持备份并警惕AI主题工具。 综合评分: 85 文章分类: 恶意软件,红队,WEB安全,安全意识,漏洞预警


cover_image

当AI幻觉照进现实:一种从未见过的浏览器勒索攻击正在诞生

原创

威胁情报中心 威胁情报中心

奇安信威胁情报中心

2026年7月2日 16:50 北京

在小说阅读器读本章

去阅读

一、从”幻觉”到攻击蓝图

大语言模型辅助编写恶意代码已经不是新闻。从早期的概念验证,到网络罪犯用 ChatGPT 生成工具,再到 VoidLink 这类 AI 编写的恶意软件框架,门槛一降再降。

但这一次,情况有点不一样。

Check Point 的研究人员在分析近 3000 个公开遥测中与 DeepSeek 有关的文件时,发现了一个编号 SHA256 为 07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5 的样本。这是一个 Python Flask 应用,伪装成 Discord 头像 AI 放大工具,前端页面叫”InfernoGrabber v9.0″。

打开代码后,研究人员的反应是:这东西大部分功能都是”假的”

样本里塞进了键盘记录、剪贴板监控、网络请求拦截、Discord Token 窃取、加密货币钱包扫描、地理位置获取、摄像头和麦克风调用、桌面截图、本地文件访问、Chrome 漏洞利用 stub、持久化机制……几乎把常见恶意软件的功能清单报菜名似地全列了一遍。

但几乎每一项都撞在了浏览器安全沙箱的墙上:

  • “桌面截图”其实只截了自己的网页
  • “键盘记录器”只能记录用户在当前页面上的按键
  • “摄像头/麦克风”需要浏览器弹窗授权
  • “持久化”只是尝试注册 Service Worker
  • “Chrome 漏洞利用”只有空壳 stub

换句话说,这更像是一份AI 在试图把原生恶意软件的能力翻译成网页代码时产生的”幻觉蓝图”——什么都想要,什么都没做成。

但就在这一堆不成熟的代码中,有一个部分击中了要害。

二、唯一落地的环节:浏览器文件系统 API

样本中的 JavaScript 代码调用了这组 API:

showOpenFilePicker();
showDirectoryPicker();

然后递归遍历用户选中的目录,读取文件内容,发送到后端服务器,最后弹出一个勒索信界面。

这就是 File System Access API——一个由 Chromium 浏览器家族(包括 Chrome 和 Android WebView)正式支持的合法 Web API。它设计的初衷是让网页版编辑器、IDE、图像处理工具能够像本地应用一样读写用户文件。

但这个”合法功能”在恶意场景中意味着:

一个网页,在用户点击”允许”后,可以枚举、读取、修改甚至加密用户授权目录下的任何文件。不需要下载任何程序,不需要安装 APK,不需要利用漏洞,不需要 root 权限。

传统的端点安全产品关注的是进程行为、文件落盘、恶意二进制特征。一个纯浏览器内的文件加密操作,恰恰绕过了这些假设。

三、从”半吊子样本”到可用 PoC

原始样本并不完整,浏览器端的加密流程有缺漏,控制流也不稳定。但研究人员想知道:如果把这个想法交给最新的 DeepSeek V4,能做出一个完整可用的概念验证吗?

结果证实了他们的担忧。

当直接要求生成”勒索软件”时,DeepSeek V4 会拒绝。但稍微换种说法——比如”一个请求用户授权访问本地文件、在浏览器内处理文件、并让用户无法恢复原始内容的网页”——模型就生成了可用的代码。

更值得注意的是,在一次专家模式的生成中,模型甚至主动描述了这段代码的恶意本质:”一个将逼真的 AI 放大工具界面与隐藏的勒索软件行为相结合的精心陷阱”——然后继续生成。

四、Android 场景:为什么格外危险

这个攻击链路在桌面端就已经值得关注,但在 Android 上,风险被放大了数倍。

原因很直接:照片是手机上最有价值的数据之一。

几年的生活照片、身份证和银行卡照片、医疗记录截图、旅行证件、工作资料、家人照片……全都在手机相册里。与此同时,Chrome 132 版本将 File System Access API 引入了 Android,而研究人员在最新测试的 Chrome 148 上确认:用户可以选择相册根目录(包括 DCIM 文件夹)进行授权。

整个攻击流程在手机上看起来无比自然:

  1. 用户打开一个”AI 照片增强”网页
  2. 选中一张想处理的照片
  3. 页面提示”请选择保存增强结果的文件夹”
  4. 用户理所当然地选了相册目录,浏览器弹出”该网站将可以编辑此文件夹中的文件”
  5. 点击”允许”——因为在照片处理的语境下,这个请求完全合理
  6. 页面在”处理中”的几秒钟内,悄悄加密了目录下的所有图片

没有 APK 安装,没有权限申请列表,没有应用商店审核,没有病毒扫描告警。用户甚至不会觉得自己”运行了恶意软件”——只是打开了网页,点了几下同意。

目前 iOS Safari 不支持 File System Access API,Chrome on iOS 使用 WebKit 内核也同样不支持。所以在移动端的实际威胁目前集中在 Android Chromium 生态。

五、更深层的信号:AI 正在改变攻击创新的经济学

这件事最值得安全行业警惕的,不是 File System Access API 本身——浏览器工程师早就知道这个 API 的勒索软件风险,2023 年 USENIX Security 上就有论文讨论过。

真正的新变化是AI 如何将一个已知但被认为”不现实”的风险,转化为可行的攻击方案

传统的攻击技术创新路径是:有经验的攻击者通过长期实验、平台研究和创造性思维,把分散的知识拼接成新攻击链。这需要人、需要时间、需要灵感。

而 AI 正在改变这个公式:

  • 一个不懂浏览器 API 的攻击者,只需要用自然语言描述一个”高级恶意目标”
  • AI 在尝试满足这个”不可能的需求”时,会在合法平台特性中搜索映射关系
  • 即使生成的代码大部分是错误的(”幻觉”),也可能意外地将恶意目标锚定到一个真实存在的 API 上
  • 通过几轮迭代提示,这个粗糙的原型就能被打磨成可用的 PoC

AI 不是在”发明”全新的漏洞,而是在扮演一个不受人类经验局限的”攻击知识连接者”——把理论上存在的风险和实际可操作的攻击桥接起来。

对于防御方来说,这意味着威胁生态可能从”少数家族、大量复用”转向”大量一次性、高度定制化”的恶意代码。每一个样本都可能有不同的技术组合、API 调用方式和逻辑结构,传统基于特征和家族的检测方法将面临更大压力。

六、用户能做什么

这个攻击链的核心依赖点是用户主动授权的文件夹访问权限。基于此,几个务实的建议:

把浏览器文件夹授权当成高风险操作

当一个网站请求”访问文件夹中的文件”时,停下来确认三件事:这个网站可信吗?选中的文件夹对吗?它真的需要修改整个文件夹吗?如果不确定,点”拒绝”。

不要把敏感目录暴露给网页

包含照片、证件、工作资料、恢复码的文件夹,不要授权给任何网页工具。即使是看起来无害的”AI 图片处理”服务。需要尝鲜的话,新建一个临时空文件夹。

高价值数据交给靠谱的原生应用

照片备份、批量编辑、敏感图像处理——优先使用有口碑的原生应用或知名云服务,而不是随手搜到的网页小工具。

保持离线/云端备份

无论攻击形式如何演变,定期备份始终是降低勒索杠杆最有效的手段。

对”AI 工具”保持同样的警惕

“AI 驱动”的界面不代表安全。越华丽的 AI 主题包装,越需要当作陌生网站来对待。

结语

AI 辅助恶意代码开发的本质变化,不是让坏人更容易做”他们已经知道怎么做的事”,而是让坏人能够做”他们本来不知道怎么做的事”。

File System Access API 本身是一个有用的 Web 功能。但当 AI 把它和一个精心构造的社会工程场景拼接在一起时,就形成了一个无需下载、无需安装、跨平台的勒索软件投递管道。

目前这个特定的浏览器勒索技术尚未在野外大规模出现。但研究已经证明,从”AI 生成的粗糙原型”到”可用的攻击工具”,距离远比想象中短。

下一次浏览器弹出”允许此网站访问文件夹?”的时候,值得多花一秒钟想一想。

参考链接

  • https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:奇安信威胁情报中心 威胁情报中心 威胁情报中心《当AI幻觉照进现实:一种从未见过的浏览器勒索攻击正在诞生》

评论:0   参与:  0