Huntress 的研究人員在追查一起針對 macOS 系統的數據竊取活動時發現，這種新型攻擊鏈始于一個看似無害的搜索查詢。

用戶在 Google 中輸入諸如“清理 Mac 磁盤空間（clear disk space on macOS）”之類常見問題時，搜索結果頁面頂部可能顯示經過付費推廣并鏈接到真實 AI 平臺的對話鏈接。點擊這些鏈接后，用戶看到的是一個完整、看似專業的 AI 技術支持對話內容，其中包含了讓用戶在終端執行的命令。

值得注意的是，這些鏈接并非指向惡意站點或偽造頁面，而是托管在 chatgpt.com 或 grok.com 等正規域名之下，是由攻擊者預先與 AI 對話生成、并通過 SEO 優化推上搜索結果前列的“對話內容”。

一旦用戶按照提示操作，將命令復制粘貼到終端執行，惡意腳本就會啟動并悄無聲息地下載、安裝后門或竊取工具。

被利用的“信任鏈”

在一個確切的案例中，當受害者搜索上述關鍵詞并點擊 ChatGPT 的鏈接時，AI 給出的建議看起來像是在幫助優化存儲空間，但其中嵌入的命令卻是一個經過編碼的 Bash 命令行，這條命令會下載并執行名為 Atomic macOS Stealer（AMOS） 的數據竊取木馬。

執行后，AMOS 會悄無聲息地收集受害者的系統憑證，提升權限，并建立長久的服務保持機制，將敏感數據傳輸出去，而整個過程沒有任何傳統的惡意文件下載提示或系統安全警告。

這一攻擊成功的關鍵在于信任鏈的構建：用戶對谷歌搜索、對 ChatGPT 和 Grok 等 AI 平臺有高度信任，而攻擊者正是利用這種信任關系進行釣魚式誘導。

這類攻擊不需要用戶下載可疑文件、不需要點擊明顯可疑的 URL，也不會觸發常見的安全警告。用戶只要按照看似合理的技術建議操作，就可能在不知不覺中完成自我感染的全過程。

Huntress 的報告強調，這種方式是目前觀察到的最危險的攻擊之一，因為它完全規避了傳統的安全防護。既利用了 AI 的自動生成能力，也結合了搜索引擎付費推廣（SEO/SEM）機制。

根據 Huntress 的分析，這波攻擊并不依賴直接入侵 AI 系統或搜索引擎本身，而是在外部構造對話環境引導 AI 生成帶有終端命令的內容。這類命令通常包含對惡意腳本的 base64 編碼下載鏈接或同樣具備危險行為的指令。

由于這些命令本身是文本形式，且看上去像是合乎邏輯的技術步驟，因此 AI 在缺乏有效上下文審查時會生成這些內容，最終被保存為可通過鏈接訪問的對話頁。

當用戶執行這些命令時，惡意腳本會在系統內完成進一步操作。例如，它可能使用系統自帶的工具（如 curl）下載并執行腳本，用 dscl 收集用戶憑證，在獲得 root 權限后安裝持久化組件，并悄然運行竊取數據的進程。

AI 內容的安全隱患

雖然目前觀察到的案例主要發生在 ChatGPT 和 Grok 平臺，但安全研究界認為，這類攻擊的核心在于 AI 內容本身的可信性與語境生成能力，而非特定工具的漏洞。

這意味著任何能夠生成可執行技術建議的 AI 都可能被濫用。如果沒有對生成內容的安全審查機制，攻擊者可以通過多種手段誘導系統生成具有危險行為的建議。

目前 Huntress 報告中重點提及的是 macOS 平臺上的 AMOS 木馬，但業內分析認為，這種方法并不局限于單一平臺或單一惡意程序。攻擊者一旦掌握了“搜索結果排序 + AI 生成內容”的方法，就可能在更大范圍內濫用這類渠道。

事件曝光后，業內安全專家紛紛呼吁加強對 AI 內容生成系統的安全審查機制，要求平臺提供更嚴格的輸出過濾與風險提示。

AI 服務提供商和搜索引擎公司也應加強監測機制，及時發現并移除具有潛在風險的搜索結果鏈接，同時提高用戶教育力度，讓更多非專業用戶理解隨意執行命令可能帶來的危險。

此次事件的出現提醒我們：技術的便捷不應成為攻擊者利用的弱點。人類對 AI 的信任，需要通過更加完善的安全措施和使用常識得到保護。用戶即便在信賴的環境中，也應始終保持警覺，避免因過度信任而執行可能威脅系統安全的操作。

參考資料：

https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust?utm_source=chatgpt.com

https://www.engadget.com/cybersecurity/hackers-tricked-chatgpt-grok-and-google-into-helping-them-install-malware-185711492.html?utm_source=chatgpt.com

https://www.ithome.com/0/904/202.htm