全球網路安全解決方案的先驅與領導者 Check Point® Software Technologies Ltd. (NASDAQ: CHKP) 旗下的威脅情報部門 Check Point Research (CPR) 公開了其發現的、源自 DeepSeek 的惡意軟體樣本分析資訊。 該樣本證實了人工智慧模型能夠自主地將理論上的瀏覽器風險與實際可行的勒索軟體技術連結起來。此勒索軟體完全在瀏覽器內部運作,無需利用漏洞、安裝應用程式或攻擊者的技術專業知識。 此案例是首度有邊緣人工智慧模型自主連結理論上存在的、專為瀏覽器設計的勒索軟體風險與實際可行的攻擊鏈。先前,防禦專家因瀏覽器沙盒的限制而認為這種新興的攻擊路徑不可能實現。專業知識不再是發現新攻擊路徑的瓶頸。面對這種轉變,防禦方必須做好準備,以免威脅行為者大規模濫用。 由 AI 取代人類攻擊者進行「思考」 在分析了約 3,000 個位於公開遙測數據上的、據信源自 DeepSeek 的檔案後,研究人員發現了一個 Python Flask 應用程式。起初,這似乎是典型的人工智慧幻覺。它試圖將鍵盤側錄、憑證竊取、網路攝影機擷取和勒索訊息覆蓋等功能塞入單一網頁,其中大部分功能會被瀏覽器拒絕。然而,在這些雜訊中,有一個功能卻能準確運作:showDirectoryPicker()。這是一個合法的瀏覽器 API,允許網頁讀取、修改和將使用者選擇的資料夾中的檔案傳送至外部。即使是沒有專業知識的使用者,也能透過以簡單的語言描述惡意目的來獲得原型,並使其在實際平台上運作,而他們甚至可能不知道這些平台功能的存在。 從幻覺進化為完全可行的概念驗證 (PoC) CPR 在受控環境中建構並驗證了此技術的概念驗證 (PoC)。他們使用了一個名為「AI Avatar Enhancer」的偽 AI 照片編輯工具,該工具利用檔案系統存取 API 來加密所選目錄中的影像。在針對 DeepSeek V4 的測試中,當直接使用「勒索軟體」一詞時,模型會拒絕。然而,當使用中性詞語時,模型則持續生成可作為瀏覽器基礎勒索軟體運作的程式碼。在某個回應中,模型本身將其輸出描述為「將類似勒索軟體的隱藏行為與說服力強的 AI 放大器介面巧妙結合的陷阱」。此工作流程無需安裝 APK、原生載荷、瀏覽器漏洞或 root 權限,僅需一個權限授權提示即可運作。 Android 行動使用者面臨最高風險 Chrome 132 在 Android 上引入了對檔案系統存取 API 的完整支援。在 Chrome 148 上的測試證實,網頁可以要求存取 DCIM 資料夾。此資料夾通常包含數年來的私人照片、身分證掃描件、銀行交易截圖、醫療記錄、恢復代碼和旅行文件。請注意,iOS Safari 並未公開相同的 API,因此上述的惡意利用手法不適用於 iOS。 如果無法存取 DCIM 資料夾中的資料,或資料外洩,可能會導致從勒索軟體勒索到嚴重的私人或商業問題。如果資料包含機密資訊,還可能因公開而導致聲譽損失。 Anthropic、OpenAI 等主要人工智慧供應商一貫拒絕與勒索軟體、憑證竊取和惡意軟體實施相關的要求。然而,DeepSeek 的回應較不一致,且免費且易於廣大用戶群體使用。測試表明,單一廣泛的提示即可生成完全可運作的惡意應用程式。使用其他模型時,類似的生成需要多次手動組裝。DeepSeek 的這種低門檻吸引了技術技能有限的威脅行為者。 建議採取的措施 發現新的攻擊路徑以前,通常需要專業領域的知識和人類的創造性思維。人工智慧正在從根本上改變這一點。透過上述方式產生的人工智慧惡意軟體,可能會將威脅環境從傳統的有限技術重複使用的情況,轉變為大量一次性的、獨特技術組合的消耗性情況。人工智慧不再僅用於重新實現現有技術,而是充當橋樑,將純粹理論上的風險轉化為防禦方前所未見的、實際可行的全新攻擊。 為在此新環境中保持安全,建議採取以下措施: 將瀏覽器資料夾存取權限提示視為高風險安全決策:對於所有提示,請確認要求授權的網站、選擇的資料夾,以及是否確實需要寫入權限。 不允許網站存取特定目錄:請勿允許存取主要照片庫、DCIM 或包含身分證、恢復代碼和銀行截圖的目錄。 謹慎處理以人工智慧為基礎的工具和服務:對於高價值任務(例如頭像放大器和照片編輯工具),請優先使用信譽良好的原生應用程式或成熟的雲端服務。 定期備份:定期在離線和雲端進行備份,確保加密檔案不是唯一的副本。 隨時更新瀏覽器和行動作業系統:同時,組織應利用安全解決方案來識別和封鎖惡意網站,並在出現可疑權限授權提示之前進行處理。 Check Point Research 的研究主管 Eli Smadja 表示: 「我們現在正親眼目睹網路攻擊的產生方式發生根本性變化。CPR 在此案例中首次確證,人工智慧模型能夠自主推理