上个月，安全厂商ESET在VirusTotal上发现一段异常的Golang代码，并将其命名为PromptLock，宣称这是首个“AI驱动的勒索软件”。该样本不仅包含文件系统扫描、数据外泄、勒索信生成等功能指令，还通过提示注入操纵开源版本的ChatGPT参与攻击，引发了业界震动。

 

然而近日，纽约大学坦顿工程学院（NYU Tandon School of Engineering）的研究团队公开承认，这段代码正是他们为科研目的所编写的概念验证样本。换句话说，ESET所谓的“野外发现”，其实是一场学术实验的“意外曝光”。

 

在随附的论文中，NYU研究者将该项目称为“勒索软件3.0”。与传统恶意代码不同，它并不依赖硬编码逻辑，而是将自然语言提示嵌入二进制文件，由大模型在运行时动态生成恶意载荷。这意味着，每次执行时都可能出现不同的变体，具备更强的规避性和多态性。研究团队强调，这是首个展示闭环大模型主导的勒索攻击流程的工作：从侦察、载荷生成到个性化勒索，均可实现自动化。

 

NYU博士生Md Raz解释称，之所以启动该研究，是因为团队认为“勒索软件正不断进化，加密技术日益复杂，而AI能力也在飞速提升”，两者结合必然带来全新威胁。他透露，PromptLock的开发仅依赖开源工具、商用硬件和几块GPU，但依然产生了极具威胁的效果。事实上，该样本上传至VirusTotal后，一度逃过所有主流杀毒引擎的检测。

 

出于安全考量，NYU团队并未公开完整的攻击脚本和行为信号，仅在学术场合分享部分实验结果。即便如此，这项研究仍然引起了巨大关注。一方面，ESET随后更新声明，承认其为学术产物，但坚持认为这是首个“实证化”的AI勒索软件案例；另一方面，业界担忧，一旦类似思路被地下黑产照搬，现有防御体系恐难以招架。

 

事实上，PromptLock并非孤例。就在上月，Anthropic披露其Claude模型曾被黑客大规模滥用，用于渗透政府、医疗和宗教组织网络，甚至自动生成心理学定制化的勒索话术。这说明，大模型在被“越狱”后，极易沦为低门槛的攻击助手。

 

过去几年，拜登政府曾要求AI公司强化安全防护，避免模型被直接用于网络攻击。然而随着特朗普重新入主白宫，AI产业政策重心转向产业竞争，完全摒弃AI安全监管，部分新发布的大模型几乎不再内置安全约束，简单的提示攻击就能绕过限制。因此，AI勒索软件的诞生并不让人感到意外。

 

参考链接：

https://arxiv.org/abs/2508.20444v1

马斯克麾下人工智能Grok被黑客用来传播恶意软件

当埃隆·马斯克将Grok作为X平台（前身为Twitter）对抗ChatGPT的王牌时，他或许未曾料到，这款被标榜为“最叛逆”的AI，如今正被网络犯罪分子当作绕过平台安全防线的“完美工具”。

 

近日，网络安全公司Guardio Labs的研究人员发出警告，一种被称为“Grokking”的新型攻击技术正在X平台上悄然兴起。攻击者巧妙地利用Grok的AI对话机制，将这个官方AI助手变成恶意软件链接的“传声筒”，成功突破了X平台的广告安全防护体系。

Grokking攻击：AI时代的“完美犯罪”

这套攻击手法的核心，在于利用了X平台的一个监管盲区和Grok一个“天真”的机制。Guardio Labs负责人Nati Tal在一系列帖子中详细拆解了这套操作。

 

第一步：精心伪装的“诱饵”

 

首先，恶意广告商（malvertiser）会在X平台上投放付费推广的“视频卡片广告”。这些广告通常以成人内容为诱饵，通过付费推广吸引数十万甚至上百万的浏览量。

 

问题的关键在于，X平台的推广广告政策限制了用户只能发布文本、图片或视频，不允许直接嵌入可点击的链接。然而，攻击者发现了一个漏洞：视频播放器下方的“来源（From:）”元数据字段，并不会被平台的安全系统扫描。

 

这个字段本应用于标注视频的原始发布者，但现在，它被攻击者“创造性”地用来隐藏一条恶意的URL链接。从表面看，这则广告完全合规，只是一个普通的视频推广。

 

第二步：呼叫AI“神助攻”

 

“诱饵”布下后，攻击者会使用一个“一次性小号”（throwaway account）在这条推广帖子下进行回复，并直接@Grok（X平台的官方AI账号）。

 

他们的提问通常非常简单，例如：“这个视频是从哪里来的？”（where is this video from?）

 

第三步：Grok“天真”地引爆传播

 

这正是整个攻击链中最致命的一环。

 

被@后，Grok会尽职尽责地分析这条帖子的上下文信息，试图回答用户的问题。它会扫描到那个被隐藏在“来源（From:）”字段中的URL，并“热心”地将其作为答案，在公开回复中直接展示出来。

 

瞬间，一条原本被X平台严格禁止的恶意链接，经由一个官方认证、系统信任的AI账号之手，堂而皇之地出现在一条拥有百万级曝光的推广帖子下方。

 

“这简直是灾难性的放大效应，”Nati Tal指出，“这条链接不仅被Grok‘背书’，还因此获得了巨大的SEO（搜索引擎优化）权重和域名声誉加成。毕竟，它是在一条病毒式传播的帖子中被官方AI‘引用’的！”

信任塌房：为什么这种攻击如此危险？

这起事件暴露了AI被利用的巨大风险。当一个系统级的、受信任的实体成为恶意内容的传播渠道时，其破坏力远超普通垃圾账号。

 

Guardio表示，用户点击这些由Grok发出的链接后，会被导向一个复杂的“流量分发系统”（TDS）。这是一个在恶意广告技术中常用的网络，它会像一个中转站，根据用户的设备、地理位置等信息，将他们导向各种更危险的页面，包括：

 

• 虚假验证码骗局：诱骗用户完成操作，订阅垃圾服务或下载恶意应用。

 

• 信息窃取恶意软件：直接在用户设备上植入木马，窃取个人密码、银行账户等敏感信息。

 

• 其他可疑内容：通过所谓的“智能链接”（smartlink）变现，将用户流量出售给下游的诈骗网络。

 

据Guardio向The Hacker News透露，在过去几天里，他们已经发现了数百个从事此类活动的账号，每个账号都发布了成百上千条类似的帖子。

 

“他们似乎在账号被平台封禁之前，会进行7x24小时不间断的发帖。这背后绝对是一个高度组织化的黑产团伙。”该公司补充道。

 

对马斯克和他的X平台而言，这无疑是一个全新的、棘手的挑战。一方面，Grok的“坦诚”和“直接”是其产品设计的特色；但另一方面，当这种特色被恶意利用时，AI就从一个助手变成了安全体系中最脆弱的“内鬼”。

 

如何教会AI分辨“元数据”中的陷阱，将是X平台安全团队亟待解决的问题。否则，在AI驱动的社交媒体时代，每一次“热心”的回答，都可能是一次大规模恶意软件传播的开始。

 

参考链接：

https://x.com/bananahacks/status/1963184353250353488

文章来源 ：GoUpSec