黑客们找到了OpenAI助手API的新用途——不是用来写诗或代码,而是秘密控制恶意软件……

微软本周详细介绍了一种之前未见的后门,名为“SesameOp”,它利用OpenAI的助手API作为指挥控制通道,在感染的系统与操控者之间传递指令。该活动首次在七月被发现,持续了数月,通过将其网络通信与合法的AI流量混合,巧妙地隐藏在众目睽睽之下——这是一种巧妙的方式,让任何认为“api.openai.com”意味着一切照常的人无法察觉。

根据微软的事件响应团队,攻击链从一个加载程序开始,它使用一种被称为“.NET AppDomainManager注入”的技巧来植入后门。该恶意软件并不与ChatGPT进行对话或任何交流;它只是劫持OpenAI的基础设施作为数据快递员。命令进来,结果出去,所有这些都通过数百万用户每天使用的同一通道进行。

通过依赖一个合法的云服务,SesameOp 避免了通常的暴露:没有可疑域名,没有可疑的 IP,也没有明显的 C2 基础设施可以被阻止。

微软表示:“与其使用传统的方法,这个后门背后的威胁行为者将 OpenAI 滥用为 C2 通道,在被攻陷的环境中,隐秘地进行沟通和协调恶意活动。这个威胁并不意味着存在漏洞或配置错误,而是滥用 OpenAI 助手 API 的内置功能。”

微软的分析显示,该恶意软件使用负载压缩和分层加密来隐藏命令和被窃取的结果;该 DLL 经过 Eazfuscator.NET 进行了严重混淆,并通过 .NET AppDomainManager 注入在运行时加载,之后后门从助手 API 接口获取加密命令,解密后在本地执行,然后把结果发回去——微软将这些技术描述为复杂且旨在隐蔽。

对于防御者来说,这里情况变得复杂。在你的网络上看到与 OpenAI API 的连接并不一定意味着“被攻破”。微软甚至发布了一条搜索查询,帮助分析师通过进程名称发现与 OpenAI 端点的异常连接——这是区分正常聊天机器人活动和恶意使用的第一步。

助理 API 本身计划在 2026 年 8 月停用,这可能会堵住这个特定的漏洞。但这种模式不会消失:如果它是云托管的并且值得信赖,那就是可以随意使用。

微软没有透露这背后是谁,但表示它已将发现与 OpenAI 分享,OpenAI 识别并禁用了一个据说是攻击者使用的 API 密钥和账户。

OpenAI未对《注册日报》的评论请求作出回应。

在这个人力资源聊天机器人和帮助台脚本都与API对话的时代,这绝对不是最后一次威胁者把你最喜欢的云工具当成他们的逃跑工具。®