LLMShare：攻击者将AI聊天机器人页面变成恶意软件投放平台

安全研究人员发现了一种新型恶意软件传播活动，攻击者正在滥用AI聊天机器人平台（如ChatGPT和Claude）的内容共享功能，将其作为恶意软件的投放渠道。这一被称为“LLMShare”的攻击方式，通过搜索引擎上的恶意广告（malvertising）和SEO投毒，将受害者引导至托管在chatgpt.com或claude.ai等可信域名上的页面。由于这些域名被安全工具和用户信任，恶意链接在受害者到达恶意载荷之前不会被URL信誉系统拦截。

最早的报告显示，攻击者创建了伪装成安装指南的共享Claude.ai对话，诱使用户在终端中粘贴curl命令以下载和执行信息窃取器（infostealer）。卡巴斯基记录了类似的ChatGPT共享对话攻击，传递了Atomic macOS Stealer（AMOS）。而Push安全公司发现的新变种更为先进：攻击者不是简单地嵌入指令，而是利用ChatGPT的代码渲染功能，在chatgpt.com的子路径下生成了一个完整的伪造页面。该页面看起来像是ChatGPT的“服务中断”通知，提示用户由于高流量无法访问，并提供一个下载桌面应用的按钮。实际上，这个页面是由HTML/CSS代码构成的，托管在ChatGPT的官方域名下。

点击下载按钮后，用户被重定向到openew[.]app，一个与ChatGPT官方下载页面高度相似的克隆站点。该站点会智能判断访问者：如果来自安全扫描器或URL分析服务，则显示一个普通的AR/VR公司网站；如果是真实浏览器访问，则展示伪造的ChatGPT下载页面并分发恶意可执行文件。这种条件渲染技术是恶意广告生态中的常见规避手段。

与此同时，使用Claude共享对话的攻击仍在继续，伪装成“Claude Code on Mac”安装指南，同样诱导用户执行恶意命令。两种变体在多个客户环境中被检测到，表明这可能是同一攻击团伙在尝试不同平台和手法。搜索引擎广告仍是主要传播渠道，用户搜索“chatgpt”及相关拼写错误时会看到恶意广告。

这个攻击手法是更广泛的“滥用合法平台”趋势的一部分。2026年的威胁环境中，攻击者系统性地利用合法平台作为攻击基础设施：例如使用被盗AWS凭证通过Amazon SES发送通过SPF/DKIM/DMARC验证的钓鱼邮件；利用Google AppSheet内置邮件功能窃取凭证；滥用Microsoft官方通知管道发送钓鱼信息。托管方面，GitHub Pages、Vercel、Azure Blob Storage、Cloudflare等服务都被用于托管恶意内容。此外，大规模利用Ghost CMS漏洞在包括哈佛、牛津等知名网站子域名上植入ClickFix页面。

LLMShare攻击的核心在于利用AI平台的结构性漏洞：传统安全控制依赖域名信誉和URL分类，而chatgpt.com和claude.ai被标记为安全，因此托管在其上的恶意内容不会被拦截。特别是利用代码渲染制作的变种，消除了早期攻击中明显的红色标记（如要求粘贴命令），呈现出看似合理的“服务中断”提示，使普通用户难以防范。