LLMShare攻击披露：ChatGPT共享页成恶意搜索入口

网络安全公司 Push Security 昨天（5月29日）发布了一项发现，看了这个案例，你大概会对“AI工具带来的新攻击面”有更直观的理解。简单来说，有黑客盯上了 ChatGPT 的内容分享功能，用它搞出了一个假宕机通知页面，再通过 Google 广告把人引过去，最终目的就是让你下载恶意软件。

他们把这次行动称为 LLMShare，全称是“大语言模型共享内容滥用”。这招刁钻的地方在于，恶意内容直接托管在 chatgpt.com 这个完全合法的 OpenAI 域名上。你想想，正经的域名，正经的页面渲染，即便是有经验的安全从业者，乍一看也很难察觉出什么异样。

攻击链路拆解：从广告到恶意软件

整个攻击流程是这样的：黑客利用 ChatGPT 的渲染能力，制作了一个自定义 HTML 页面，然后通过 chatgpt.com/s/ 共享链接发布出去。

当你通过 Google 广告点进去，看到的会是一个看起来再正常不过的 ChatGPT 共享页面。但页面内容却被精心篡改，显示的是一个以假乱真的宕机通知。上面写着，因为访问量过大，网站暂时不可用，请下载桌面应用继续使用。别信，那是假的。

如果你信以为真，点击了页面上的下载按钮，就会被跳转到 openew[.]app 这个网站。这个网站从里到外都在冒充 OpenAI 的官方桌面应用下载门户。

注意，这里还有个细节——隐藏技术。研究人员发现，当安全扫描工具访问这个恶意网站时，它只会显示一个人畜无害的 AR/VR 公司页面。只有当特定目标的受害者访问时，才会露出真面目，展示真实的恶意下载页面。这属于典型的“看人下菜碟”，专门用来规避自动化检测。

网站提供了 Windows 和 macOS 两个版本的下载选项。安全测试结果显示，一旦运行这些程序，它们会先执行命令，检测当前环境是否为虚拟机——这又是经典的规避分析手段。

与传统的差异，以及更大的威胁

传统钓鱼攻击，恶意内容通常托管在黑客自己控制的、可疑的域名上。但这次不一样，恶意内容完全由 ChatGPT 自身渲染，并且托管在它的官方域名之下。这种“合法平台里的坏东西”，给传统的安全检测带来了巨大的挑战。

Push Security 还提到，他们在客户环境中看到了类似的攻击变体，只是平台换成了 Claude。这说明攻击者很可能在共享同一套攻击思路和工具，正在不同的大模型平台上反复测试，寻找社会工程学话术的最优解。

这个案例提醒我们，当 AI 工具成为新的内容分发和托管平台时，攻击者的想象力，可能比我们预想的要快得多。

来源：互联网