文章总结: 该文档揭示了一种新型浏览器勒索攻击技术,利用AI生成的代码结合FileSystemAccessAPI,在用户授权后加密本地文件。攻击者通过伪装成AI图片处理工具诱导用户授权文件夹访问权限,特别在Android设备上风险更高,可加密相册内容。研究显示AI降低了攻击创新门槛,使理论风险转化为可行方案。建议用户谨慎授权浏览器文件夹访问,保持备份并警惕AI主题工具。 综合评分: 85 文章分类: 恶意软件,红队,WEB安全,安全意识,漏洞预警
当AI幻觉照进现实:一种从未见过的浏览器勒索攻击正在诞生
原创
威胁情报中心 威胁情报中心
奇安信威胁情报中心
2026年7月2日 16:50 北京
在小说阅读器读本章
去阅读
一、从”幻觉”到攻击蓝图
大语言模型辅助编写恶意代码已经不是新闻。从早期的概念验证,到网络罪犯用 ChatGPT 生成工具,再到 VoidLink 这类 AI 编写的恶意软件框架,门槛一降再降。
但这一次,情况有点不一样。
Check Point 的研究人员在分析近 3000 个公开遥测中与 DeepSeek 有关的文件时,发现了一个编号 SHA256 为 07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5 的样本。这是一个 Python Flask 应用,伪装成 Discord 头像 AI 放大工具,前端页面叫”InfernoGrabber v9.0″。
打开代码后,研究人员的反应是:这东西大部分功能都是”假的”。
样本里塞进了键盘记录、剪贴板监控、网络请求拦截、Discord Token 窃取、加密货币钱包扫描、地理位置获取、摄像头和麦克风调用、桌面截图、本地文件访问、Chrome 漏洞利用 stub、持久化机制……几乎把常见恶意软件的功能清单报菜名似地全列了一遍。
但几乎每一项都撞在了浏览器安全沙箱的墙上:
- “桌面截图”其实只截了自己的网页
- “键盘记录器”只能记录用户在当前页面上的按键
- “摄像头/麦克风”需要浏览器弹窗授权
- “持久化”只是尝试注册 Service Worker
- “Chrome 漏洞利用”只有空壳 stub
换句话说,这更像是一份AI 在试图把原生恶意软件的能力翻译成网页代码时产生的”幻觉蓝图”——什么都想要,什么都没做成。
但就在这一堆不成熟的代码中,有一个部分击中了要害。
二、唯一落地的环节:浏览器文件系统 API
样本中的 JavaScript 代码调用了这组 API:
showOpenFilePicker();
showDirectoryPicker();
然后递归遍历用户选中的目录,读取文件内容,发送到后端服务器,最后弹出一个勒索信界面。
这就是 File System Access API——一个由 Chromium 浏览器家族(包括 Chrome 和 Android WebView)正式支持的合法 Web API。它设计的初衷是让网页版编辑器、IDE、图像处理工具能够像本地应用一样读写用户文件。
但这个”合法功能”在恶意场景中意味着:
一个网页,在用户点击”允许”后,可以枚举、读取、修改甚至加密用户授权目录下的任何文件。不需要下载任何程序,不需要安装 APK,不需要利用漏洞,不需要 root 权限。
传统的端点安全产品关注的是进程行为、文件落盘、恶意二进制特征。一个纯浏览器内的文件加密操作,恰恰绕过了这些假设。
三、从”半吊子样本”到可用 PoC
原始样本并不完整,浏览器端的加密流程有缺漏,控制流也不稳定。但研究人员想知道:如果把这个想法交给最新的 DeepSeek V4,能做出一个完整可用的概念验证吗?
结果证实了他们的担忧。
当直接要求生成”勒索软件”时,DeepSeek V4 会拒绝。但稍微换种说法——比如”一个请求用户授权访问本地文件、在浏览器内处理文件、并让用户无法恢复原始内容的网页”——模型就生成了可用的代码。
更值得注意的是,在一次专家模式的生成中,模型甚至主动描述了这段代码的恶意本质:”一个将逼真的 AI 放大工具界面与隐藏的勒索软件行为相结合的精心陷阱”——然后继续生成。
四、Android 场景:为什么格外危险
这个攻击链路在桌面端就已经值得关注,但在 Android 上,风险被放大了数倍。
原因很直接:照片是手机上最有价值的数据之一。
几年的生活照片、身份证和银行卡照片、医疗记录截图、旅行证件、工作资料、家人照片……全都在手机相册里。与此同时,Chrome 132 版本将 File System Access API 引入了 Android,而研究人员在最新测试的 Chrome 148 上确认:用户可以选择相册根目录(包括 DCIM 文件夹)进行授权。
整个攻击流程在手机上看起来无比自然:
- 用户打开一个”AI 照片增强”网页
- 选中一张想处理的照片
- 页面提示”请选择保存增强结果的文件夹”
- 用户理所当然地选了相册目录,浏览器弹出”该网站将可以编辑此文件夹中的文件”
- 点击”允许”——因为在照片处理的语境下,这个请求完全合理
- 页面在”处理中”的几秒钟内,悄悄加密了目录下的所有图片
没有 APK 安装,没有权限申请列表,没有应用商店审核,没有病毒扫描告警。用户甚至不会觉得自己”运行了恶意软件”——只是打开了网页,点了几下同意。
目前 iOS Safari 不支持 File System Access API,Chrome on iOS 使用 WebKit 内核也同样不支持。所以在移动端的实际威胁目前集中在 Android Chromium 生态。
五、更深层的信号:AI 正在改变攻击创新的经济学
这件事最值得安全行业警惕的,不是 File System Access API 本身——浏览器工程师早就知道这个 API 的勒索软件风险,2023 年 USENIX Security 上就有论文讨论过。
真正的新变化是AI 如何将一个已知但被认为”不现实”的风险,转化为可行的攻击方案。
传统的攻击技术创新路径是:有经验的攻击者通过长期实验、平台研究和创造性思维,把分散的知识拼接成新攻击链。这需要人、需要时间、需要灵感。
而 AI 正在改变这个公式:
- 一个不懂浏览器 API 的攻击者,只需要用自然语言描述一个”高级恶意目标”
- AI 在尝试满足这个”不可能的需求”时,会在合法平台特性中搜索映射关系
- 即使生成的代码大部分是错误的(”幻觉”),也可能意外地将恶意目标锚定到一个真实存在的 API 上
- 通过几轮迭代提示,这个粗糙的原型就能被打磨成可用的 PoC
AI 不是在”发明”全新的漏洞,而是在扮演一个不受人类经验局限的”攻击知识连接者”——把理论上存在的风险和实际可操作的攻击桥接起来。
对于防御方来说,这意味着威胁生态可能从”少数家族、大量复用”转向”大量一次性、高度定制化”的恶意代码。每一个样本都可能有不同的技术组合、API 调用方式和逻辑结构,传统基于特征和家族的检测方法将面临更大压力。
六、用户能做什么
这个攻击链的核心依赖点是用户主动授权的文件夹访问权限。基于此,几个务实的建议:
把浏览器文件夹授权当成高风险操作
当一个网站请求”访问文件夹中的文件”时,停下来确认三件事:这个网站可信吗?选中的文件夹对吗?它真的需要修改整个文件夹吗?如果不确定,点”拒绝”。
不要把敏感目录暴露给网页
包含照片、证件、工作资料、恢复码的文件夹,不要授权给任何网页工具。即使是看起来无害的”AI 图片处理”服务。需要尝鲜的话,新建一个临时空文件夹。
高价值数据交给靠谱的原生应用
照片备份、批量编辑、敏感图像处理——优先使用有口碑的原生应用或知名云服务,而不是随手搜到的网页小工具。
保持离线/云端备份
无论攻击形式如何演变,定期备份始终是降低勒索杠杆最有效的手段。
对”AI 工具”保持同样的警惕
“AI 驱动”的界面不代表安全。越华丽的 AI 主题包装,越需要当作陌生网站来对待。
结语
AI 辅助恶意代码开发的本质变化,不是让坏人更容易做”他们已经知道怎么做的事”,而是让坏人能够做”他们本来不知道怎么做的事”。
File System Access API 本身是一个有用的 Web 功能。但当 AI 把它和一个精心构造的社会工程场景拼接在一起时,就形成了一个无需下载、无需安装、跨平台的勒索软件投递管道。
目前这个特定的浏览器勒索技术尚未在野外大规模出现。但研究已经证明,从”AI 生成的粗糙原型”到”可用的攻击工具”,距离远比想象中短。
下一次浏览器弹出”允许此网站访问文件夹?”的时候,值得多花一秒钟想一想。
参考链接
- https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:奇安信威胁情报中心 威胁情报中心 威胁情报中心《当AI幻觉照进现实:一种从未见过的浏览器勒索攻击正在诞生》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论