近期,駭客成功利用熱門的 AI 聊天機械人(如 ChatGPT 和 Grok)及 Google 搜尋,達成一種新型態的惡意軟體攻擊。據網絡安全公司 Huntress 的報告,攻擊者透過 AI 工具生成具有指令的搜尋結果,誘導用戶執行惡意命令,進而讓駭客入侵並安裝惡意軟體。
攻擊者的行動方式如下:首先,他們與 AI 聊天機械人進行互動,要求其生成與常見搜尋關鍵詞相關的指令,並將這些指令製作成公開可見的內容。接著,他們支付費用以提高這些內容在 Google 搜尋結果中的排名,確保其出現在搜尋首頁。一旦用戶點擊這些連結並執行建議的指令,駭客便能獲得電腦的訪問權限並安裝惡意軟體。
Huntress 發現的一個案例中,受害者在搜尋「清理 Mac 磁碟空間」時,點擊了一個由 ChatGPT 生成的連結。執行指令後,Mac 系統遭受到名為 AMOS的 數據竊取惡意軟體攻擊。此次攻擊繞過了傳統的安全風險警告,例如不需要用戶下載文件或安裝執行檔,只需信任 Google 搜尋與 ChatGPT 提供的建議即可。這次事件暴露了 AI 與搜尋引擎被駭客利用的新風險,尤其是當用戶對建議內容過度信任時。專家建議,除了採取常規的網絡安全措施,使用者應謹慎對待任何未經查證的指令,尤其是涉及終端命令或瀏覽器 URL 欄的操作。目前,相關連結已被下架,但事件強調了 AI 與搜尋引擎在資訊安全上的挑戰與潛在風險。未來,使用者需更加警惕,避免成為駭客攻擊的目標。
