新闻动态

News information

勒索攻击的演变:从传统恶意软件到浏览器原生威胁

<<返回

2026年07月14日 08:00

当大模型把一句听起来不可能实现的恶意设想,翻译成真实浏览器 API 的调用链时,传统的"只有安装了恶意软件才算被攻击"的判断标准就开始失效了。AI 辅助恶意代码开发让攻击者更容易做到他们"本来不知道怎么做的事"


勒索病毒的演变


要理解"浏览器原生勒索"为什么值得警惕,有必要先拉远视角,回顾勒索软件在过去三十余年间走过的演化路径。每一次技术跃迁,都伴随着攻击门槛的降低和影响范围的扩大。


  • 早期萌芽(1989-2009) AIDS Trojan 

    是第一个为人所知的勒索软件,主要通过软盘传播,采取简单的文件隐藏或对称加密方式,影响有限。

  • 加密时代开启(2010至今)

    随着比特币等加密货币的普及和非对称加密(如RSA)技术的成熟,勒索病毒的破坏力呈指数级增长。CryptoLocker (2013) 是标志性事件,大规模使用非对称加密,使文件难以恢复。

  • 全球性爆发与产业化(2017-2023) WannaCry (2017) 

    的全球大爆发让勒索病毒进入公众视野,其蠕虫式传播利用了“永恒之蓝”漏洞。此后,勒索病毒攻击呈现产业化趋势,RaaS(勒索软件即服务)模式降低了门槛,攻击者转向更复杂的策略,如双重勒索(加密+数据窃取)和多重勒索。

  • 当前现状与新趋势(2024-至今)

    攻击数量持续上升,目标行业广泛(制造业、金融、医疗、教育等)。无加密勒索攻击(直接窃取数据而非加密)兴起,勒索金额屡创新高,动辄数百万甚至上亿美元。AI 技术开始被用于勒索攻击,提升其智能化和自动化水平。

  • 未来展望:

    勒索病毒预计将更加智能化、个性化,并可能利用AI技术进行更精准的攻击。同时,防御技术也将持续发展,零信任安全、AI驱动的检测与响应将是关键。

标题: fig:


勒索软件已从早期的文件隐藏演变为如今复杂的加密与数据窃取,成为全球性的网络安全威胁。当前,勒索攻击呈现出多重勒索、无加密攻击等新趋势,目标日益广泛,赎金屡创新高。随着AI技术的发展,勒索软件将更加智能化,大语言模型辅助使得恶意代码和恶意软件框架的编写门槛一再降低,也可能诞生一些不一样的勒索方式。


特殊的恶意样本:AI 不是只会"照抄",还会"搭桥"


某研究机构在过去一年公开遥测中收集到的近 3,000 个恶意样本文件里,注意到了一个SHA256

07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5

的样本。这个样本是一个 Python Flask 应用,前端伪装成 Discord 头像 AI 放大工具,并自称为InfernoGrabber v9.0

它像极了一份"购物清单式"的恶意代码:键盘记录、剪贴板监控、网络请求拦截、Discord Token 窃取、加密货币钱包扫描、地理位置获取、摄像头和麦克风调用、桌面截图、本地文件访问、Chrome 漏洞利用stub、持久化机制、勒索信弹窗……几乎把传统原生木马的功能都列了一遍。


但几乎每一项都撞上了浏览器安全模型的边界:


  • *所谓"桌面截图"只能截取当前网页的渲染内容;

  • *键盘记录器"只能记录用户在该页面内的按键;

  • *摄像头/麦克风"必须触发浏览器权限弹窗;

  • *"持久化"只是尝试注册      Service Worker


  • *"Chrome     漏洞利用"只是一个空壳 stub


它更像是大模型在回应一个过于宽泛的 prompt 时,把原生恶意软件的能力清单强行"翻译"成网页代码后产生的幻觉产物:什么都想实现,却什么都没能在浏览器沙箱里真正跑通。可就在这一堆不成熟的代码里,唯一的例外是文件访问工作流程,其中生成的代码使用了具有实际滥用潜力的浏览器原语。样本中的 JavaScript 调用了这样一组API


showOpenFilePicker();
showDirectoryPicker();


随后递归遍历用户选中的目录,读取文件内容,发送到 Flask 后端,并在交互完成后显示勒索信式的警告。这就是File System Access API——Chromium 系浏览器正式支持的合法 Web 能力。


这才是最值得注意的地方:AI在这里扮演的不是漏洞发现者,而是攻击知识的搭桥者:它把一个听起来像天方夜谭的需求——"做一个不用安装、不用漏洞、能加密本地文件的网页"——与浏览器厂商已经提供但长期被认为"不现实"的合法能力连接了起来。


File System Access API:被低估的"合法武器"


文件系统访问 APIFile System Access API)的设计初衷很明确:让网页版编辑器、在线 IDE、图像处理工具能够像本地应用一样读写用户文件。它不是一个秘密后门,而是一项正式标准,在 Chrome 86 就已登陆桌面端,Chrome 132 又将其扩展到了 Android WebView


它的权限模型看起来也很克制:网页不能偷偷访问硬盘,必须调用文件选择器,由用户主动选择一个文件或文件夹,并在浏览器提示中点击"允许"。授权之后,网页才能在该范围内读取、写入、删除和枚举文件。但"用户授权"这件事本身就是最薄弱的环节。普通用户面对浏览器弹出的文件夹访问提示时,很难区分合理请求和恶意请求。提示内容通常只是:


"该网站将可以编辑此文件夹中的文件。"


当你正在使用一个"AI照片增强"网页,它让你选择保存处理结果的文件夹时,这个请求看起来非常自然。你点下"允许"的瞬间,网页就获得了对相册目录的读写权限——不需要下载

任何程序,不需要安装APK,不需要利用浏览器漏洞,也不需要 root 权限


值得注意的是,Chromium 其实对一部分敏感路径做了限制,包括用户主目录、DesktopDocumentsDownloadsChrome 数据目录、Program FilesAppData 以及多个 Linux/Android 系统路径。但在测试的 Android Windows 上,Pictures Videos 目录的根目录并没有被限制 Chrome 148 Android 上甚至允许直接选择DCIM文件夹作为授权对象。


下面是在 Android 上复现的完整链路:

  1. 用户打开伪装成 AI 照片增强的网页;
  2. 选择一张想处理的照片,页面诱导用户选择"输出文件夹"
  3. 用户顺手选中相册根目录(如DCIM)并授权;
  4. 页面在"处理中"的几秒内,遍历并加密目录下的图片;

标题: fig:


目前 Firefox Safari(包括 iOS 上的 Chrome,因其使用 WebKit 内核)并不暴露同样的文件选择器方法,因此攻击面暂时集中在 Chromium 生态。但这也足以覆盖大量桌面用户和绝大多数 Android 用户。


"幻觉框架"到可用PoCAI 改变了恶意实验的成本曲线


File System Access API 的滥用风险并不是今天才被提到的。2023 年的 USENIX Security 论文RoB: Ransomware over Modern Web Browsers已经专门讨论过。但之前大家普遍认为,这种攻击在真实世界里"不够现实":攻击者需要懂浏览器 API、需要设计社会工程链路、需要绕过端点检测对浏览器行为的信任。


AI 的出现改变了这个等式:


传统攻击创新

AI 辅助后的攻击创新

需要攻击者长期研究平台特性

自然语言描述目标即可

需要把多个技术点手动拼接

模型自动寻找合法   API 与恶意目标的映射

生成的样本往往有固定家族特征

每个样本都可能是"一次性定制"

需要人类经验判断可行性

模型在"幻觉"中也能意外锚定真实攻击面


更微妙的是,某LLM在这次测试里展现出了"边拒绝边生成"的弹性:直接要"勒索软件"会被拒,但换一种中性描述——"一个请求用户授权访问本地文件、在浏览器内处理文件、并让用户无法恢复原始内容的网页"——就能拿到可用代码。甚至在 Expert 模式下,模型一边把结果描述为"精心陷阱",一边继续输出完整代码。


而且真正发生变化的不是"AI会不会写木马",而是恶意实验的成本曲线被压低了。过去需要开发者、购买构建器或具备平台知识的任务,现在可以通过自然语言描述、反复迭代 prompt 来低成本完成。这说明未来的安全对抗可能不再只是"封堵已知恶意家族",而是要应对大量由 AI 快速拼接出的、没有固定签名的一次性攻击


结语


File System Access API 本身是一个有用的 Web 能力。AI 图像增强、在线代码编辑器、云端设计工具都需要它。但当 AI 把这个合法能力与精心构造的社会工程场景拼接在一起时,就出现了一条无需安装、无需漏洞、跨平台的勒索软件投递管道。AI 的价值在于,降低了开发的成本,从而缩短攻击链的构建周期。过去需要经验丰富的红队才能想清楚的跨域攻击链,现在可能只需要一段措辞巧妙的 prompt


需要强调的是,目前公开研究还没有大规模野外利用这一技术的报道。原始恶意样本本身也不完整,无法稳定实现完整攻击。但"尚未发生"不等于"不会发生"。安全领域一个反复出现的规律是:只要存在一条从社会工程到高价值数据的低摩擦路径,攻击者迟早会走到那一步。


对于个人用户,"下次浏览器问你"是否允许此网站访问文件夹"时,不妨停下来想一想。这个网站可信吗?选中的文件夹对吗?它真的需要修改整个文件夹吗?


对于企业和安全从业者,这件事的意义则更深一层:浏览器不再只是上网工具,它正在成为连接云端服务、本地文件和生产数据的枢纽。如果我们继续用"有没有安装恶意软件"来判断一次攻击是否发生,就会漏掉越来越多像浏览器原生勒索这样"看不见二进制"的新型威胁。AI 让攻击者更容易做到他们"本来不知道怎么做的事"。防御者也需要用同样的思维方式升级自己的安全假设。


参考:https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/




— 【 THE END 】—