微软必应(Bing)的 AI 增强搜索功能近日被安全研究人员披露存在潜在风险。黑客利用搜索推荐机制,通过伪造 GitHub 项目向用户分发恶意 OpenClaw 安装程序,从而诱导开发者在本地运行恶意代码。
据安全公司 Huntress 的研究报告显示,攻击者通过创建仿冒 GitHub 组织、复制真实开源项目代码并进行简单修改,使这些仓库在搜索引擎中获得较高权重。随后,当用户在必应中搜索 OpenClaw 或相关 AI 工具时,AI 增强搜索结果可能会推荐这些伪造项目。
这种攻击方式本质上属于 “搜索污染(Search Poisoning)”。
攻击者并不直接入侵平台,而是通过操纵搜索排名与推荐逻辑,使恶意内容出现在用户最容易点击的位置。
由于 AI 搜索结果通常会对项目进行摘要与推荐,这进一步增加了用户对这些链接的信任度。
OpenClaw 本身是一款功能强大的开源 AI 智能体工具,常用于自动化任务与 AI Agent 工作流。其运行环境通常具备较高系统权限,例如:
这些能力使其在开发者社区中非常流行,但也让它成为攻击者眼中的理想入口。一旦用户运行恶意安装脚本,攻击者便可以借助这些权限窃取敏感数据或进一步控制系统。
研究人员发现,攻击者针对不同操作系统用户设计了不同的攻击流程。
在 macOS 环境中,攻击页面会诱导用户在终端执行一段安装命令。
该命令会下载并运行恶意脚本,最终安装 Atomic Stealer 窃密程序。
这种恶意软件主要用于窃取:
对于 Windows 用户,攻击者则提供一个名为 OpenClaw_x64.exe 的可执行文件。
运行后,该程序会在内存中加载 Vidar 窃密软件,并执行以下操作:
同时,系统还会被植入 GhostSocks 木马,使受害电脑成为黑客网络中的代理节点,用于隐藏其他攻击活动。
安全研究人员指出,这类攻击利用的是 AI 搜索结果的可信度。
与传统搜索不同,AI 搜索往往会:
当用户看到 AI 推荐时,往往会降低警惕,更容易直接点击并执行安装步骤。
目前相关“搜索污染”现象主要出现在必应平台,暂未发现 Google 搜索出现类似大规模问题。
针对这一风险,安全研究人员建议开发者在安装 AI 工具时注意以下几点:
优先访问官方渠道
尽量通过项目官方文档或 GitHub 官方组织获取下载链接。
避免直接运行未知脚本
尤其是需要在终端执行的安装命令。
检查 GitHub 仓库信息
包括组织名称、提交历史、Star 数量以及维护者身份。
警惕 AI 搜索推荐
AI 生成的推荐并不意味着来源可信。
随着 AI 搜索逐渐成为主流入口,类似的“AI 推荐投毒”攻击可能会越来越常见。对于开发者而言,在获取高权限工具时保持基本的安全审查仍然至关重要。