LLMShare：攻擊者將AI聊天機器人頁面變成惡意軟件投放平台

安全研究人員發現了一種新型惡意軟件傳播活動，攻擊者正在濫用AI聊天機器人平台（如ChatGPT和Claude）的內容共享功能，將其作為惡意軟件的投放渠道。這一被稱為“LLMShare”的攻擊方式，通過搜索引擎上的惡意廣告（malvertising）和SEO投毒，將受害者引導至託管在chatgpt.com或claude.ai等可信域名上的頁面。由於這些域名被安全工具和用户信任，惡意鏈接在受害者到達惡意載荷之前不會被URL信譽系統攔截。

最早的報告顯示，攻擊者創建了偽裝成安裝指南的共享Claude.ai對話，誘使用户在終端中粘貼curl命令以下載和執行信息竊取器（infostealer）。卡巴斯基記錄了類似的ChatGPT共享對話攻擊，傳遞了Atomic macOS Stealer（AMOS）。而Push安全公司發現的新變種更為先進：攻擊者不是簡單地嵌入指令，而是利用ChatGPT的代碼渲染功能，在chatgpt.com的子路徑下生成了一個完整的偽造頁面。該頁面看起來像是ChatGPT的“服務中斷”通知，提示用户由於高流量無法訪問，並提供一個下載桌面應用的按鈕。實際上，這個頁面是由HTML/CSS代碼構成的，託管在ChatGPT的官方域名下。

點擊下載按鈕後，用户被重定向到openew[.]app，一個與ChatGPT官方下載頁面高度相似的克隆站點。該站點會智能判斷訪問者：如果來自安全掃描器或URL分析服務，則顯示一個普通的AR/VR公司網站；如果是真實瀏覽器訪問，則展示偽造的ChatGPT下載頁面並分發惡意可執行文件。這種條件渲染技術是惡意廣告生態中的常見規避手段。

與此同時，使用Claude共享對話的攻擊仍在繼續，偽裝成“Claude Code on Mac”安裝指南，同樣誘導用户執行惡意命令。兩種變體在多個客户環境中被檢測到，表明這可能是同一攻擊團伙在嘗試不同平台和手法。搜索引擎廣告仍是主要傳播渠道，用户搜索“chatgpt”及相關拼寫錯誤時會看到惡意廣告。

這個攻擊手法是更廣泛的“濫用合法平台”趨勢的一部分。2026年的威脅環境中，攻擊者系統性地利用合法平台作為攻擊基礎設施：例如使用被盜AWS憑證通過Amazon SES發送通過SPF/DKIM/DMARC驗證的釣魚郵件；利用Google AppSheet內置郵件功能竊取憑證；濫用Microsoft官方通知管道發送釣魚信息。託管方面，GitHub Pages、Vercel、Azure Blob Storage、Cloudflare等服務都被用於託管惡意內容。此外，大規模利用Ghost CMS漏洞在包括哈佛、牛津等知名網站子域名上植入ClickFix頁面。

LLMShare攻擊的核心在於利用AI平台的結構性漏洞：傳統安全控制依賴域名信譽和URL分類，而chatgpt.com和claude.ai被標記為安全，因此託管在其上的惡意內容不會被攔截。特別是利用代碼渲染製作的變種，消除了早期攻擊中明顯的紅色標記（如要求粘貼命令），呈現出看似合理的“服務中斷”提示，使普通用户難以防範。