你习惯在终端里随手cat一个文件,从没想过这会变成攻击入口。但iTerm2的用户现在面临一个尴尬现实:光是查看文本,就可能让本地电脑执行恶意代码。

导读

打开网易新闻 查看精彩图片

网络安全团队Califio与OpenAI合作发现,macOS最流行的终端模拟器iTerm2存在一个"信任崩溃"漏洞。攻击者无需网络渗透,只需让目标查看包含特定转义序列的文本,就能劫持终端的SSH集成功能,在本地执行任意代码。更棘手的是,这个漏洞的利用门槛极低——cat readme.txt就够了。

正方:这是设计缺陷,不是用户误操作

漏洞的核心在于iTerm2的SSH集成机制。为了让远程操作更顺滑,iTerm2会向目标服务器部署一个叫"conductor"的辅助脚本。这个脚本负责协调登录shell探测、目录切换、文件上传等任务,所有通信都走普通的终端输入输出通道,不依赖额外网络服务。

按设计,conductor应该只在验证过的SSH会话中生效。但Califio团队发现,iTerm2实际上接受任何终端输出的conductor协议指令,不管来源是否可信。

这意味着攻击者可以伪造conductor会话。具体手法是:在文本文件中嵌入特定的终端转义序列(escape sequences),当iTerm2渲染这些文本时,会误以为自己正在与远程conductor建立通信。

伪造的"对话"会引导iTerm2进入降级执行路径。终端以为自己正在向远程服务器发送验证请求,实际上却在本地PTY(伪终端)中写入base64编码的命令。由于根本没有真实的SSH连接,这些命令被本地shell直接解析执行。

Califio给出的攻击链条很清晰:恶意文本→触发伪造conductor→iTerm2自动响应→base64载荷注入→本地命令执行。整个过程不需要用户主动输入任何指令,甚至不需要实际的网络连接。

反方:利用条件有限,实际风险可控

但细看技术细节,这个漏洞并非无差别攻击。

首先,攻击者需要让目标查看特定构造的文本。常见场景包括:诱导用户cat本地恶意文件、劫持服务器返回的响应内容、篡改Message of the Day(MOTD)等。这些都需要一定的前置接触点,不是完全静默的远程入侵。

其次,base64编码的载荷需要被精心构造。攻击者必须确保编码后的字符串最终解析为一个有效的本地文件路径,比如ace/c+aliFIo这种形式。然后还要在该路径放置实际的可执行载荷。这意味着攻击者需要预知或控制目标的文件系统结构。

再者,iTerm2的SSH集成功能并非默认开启。用户需要主动配置才能启用conductor机制,这缩小了潜在受害面。

最后,响应速度足够快。Califio在3月30日报告漏洞,iTerm2次日就提交了修复代码。虽然稳定版尚未发布,但开发者的响应表明这属于可修补的实现疏漏,而非架构性死结。

判断:信任边界的系统性溃败

双方观点都有依据,但核心问题被反方低估了。

这个漏洞的真正危险不在于利用复杂度,而在于信任模型的根本错误。iTerm2的设计假设是:看到conductor协议输出,就等于处于受控的SSH会话中。这个假设忽略了终端环境的复杂性——任何能写入终端输出的来源(本地文件、管道、子shell、甚至复制粘贴)都可能被武器化。

这是典型的"上下文混淆"攻击。终端模拟器同时处理本地和远程的输入输出,却没有在协议层面区分二者。当安全边界依赖于"输出看起来像什么"而非"输出来自哪里"时,欺骗就变得廉价。

更值得玩味的是攻击的认知不对称。用户对cat文件的操作有明确的安全预期:这是本地只读行为,不会触发网络活动,更不会执行代码。iTerm2的SSH集成打破了这种预期,却没有给出足够的视觉警示。终端界面看起来和平时一样,背后却在自动协商远程会话、探测Python版本、构造执行命令。

这种"静默自动化"是产品体验的甜蜜点,也是安全设计的陷阱区。Califio与OpenAI的合作本身也说明问题:AI公司开始深度参与漏洞研究,可能是因为终端环境正在成为AI编码工具的关键战场,而这里的安全模型还没跟上。

修复窗口与临时防护

目前稳定版用户仍处于暴露状态。在官方补丁到达前,可行的缓解措施包括:禁用SSH集成功能、避免在不可信环境中查看陌生文本文件、对catless等命令的输出保持警觉。

但这些都属于"用户承担设计债务"的权宜之计。根本修复需要iTerm2在协议层面引入会话验证,确保conductor指令只能来自密码学认证的通道,而非任意的终端输出流。

数据收束

3月30日报告,3月31日修复提交——这个48小时的响应周期,与漏洞潜伏期的未知长度形成对照。iTerm2作为macOS终端模拟器的事实标准,其用户基数难以精确统计,但GitHub星标数超过14,000,Homebrew安装量常年位居开发工具前列。一个被广泛用于生产环境的工具,其信任边界的漏洞可能已在无数catcurlgit log操作中悄然触发,只是从未被识别为安全事件。这次披露的价值,在于把"看文本"这个最基础的操作,重新置于安全审视之下。