Push Security这家安全公司在5月29日甩出一份报告:有人正在把ChatGPT的共享链接功能,当成投放恶意软件的精准渠道。他们管这套攻击手法叫LLMShare,字面意思就是“大语言模型共享内容滥用”。不是ChatGPT本身被攻破,而是攻击者利用它的渲染能力和官方域名,搭出了一个谁都难以识破的钓鱼陷阱。

这事恶心在哪儿?五个关键点。

打开网易新闻 查看精彩图片

第一,托管域名完全合法。恶意页面就放在chatgpt.com/s/下面,这是OpenAI官方的共享链接路径。企业安全策略里,你总不能把整个openai.com都封了吧?员工要正常用AI工具,安全团队拦也不是,放也不是。

第二,攻击链路设计得极其狡猾。用户从Google广告点进去,到达一个看似正常的ChatGPT共享页。页面上弹出一个伪造的宕机通知,话术是“访问量太大暂时不可用,请下载桌面应用继续使用”。整套流程披着“官方”的皮,普通用户根本看不出破绽。

第三,这个恶意站点用了规避技术。安全扫描工具访问时,它显示的是一个毫无危害的AR/VR公司网页;只有当它判断访问者是真实的目标受害者时,才暴露出那个藏着恶意程序的下载页面。就是专门针对安全检测设备做了一层“隐身”。

第四,下载下来的程序还会做环境检测。安全测试显示,它运行后会执行命令,检查当前环境是不是虚拟机或沙箱。这明显是在躲避安全研究人员的动态分析。Windows版和macOS版都提供了,攻击者显然是冲着覆盖更广的受害者来的。

第五,这套打法可不是ChatGPT独占。Push Security透露,他们在客户环境里已经看到了Claude版本的变体。说明背后这帮人不是针对某个单一平台做一次性尝试,而是搞了一套可复制的攻击框架,在不同AI产品的共享功能上测试同样的社工话术和投毒链路。今天用“宕机通知”骗下载,明天换个话术还能再跑一遍。

坦白讲,这事的核心逻辑一点都不新鲜。传统的钓鱼邮件、恶意广告,靠的都是盗用合法身份来降低受害者的警惕性。但LLMShare的阴险之处在于,它不盗用,它就是“合法”的。内容托管域名是openai.com,页面也是ChatGPT自己渲染出来的,从任何一个传统的URL信誉检测维度看,这个链接都是干净的。安全工具查域名——干净,查证书——干净,查页面内容——只是一段渲染出来的HTML文本而已。只有工具背后的人被绕进去了。

这也暴露出一个尴尬的现实:AI产品的共享功能正在成为一个全新的攻击面,但绝大多数企业的安全策略还没来得及跟上。以前管好邮件附件、管好USB端口就算及格了,现在还要盯着员工点开的每一个chatgpt.com/s/链接里到底藏的什么内容。这件事的麻烦程度,才刚刚开始。