近期一轮针对开发者的复合攻击曝光,威胁行为者同时滥用Google Ads、GitLab Pages与Claude共享聊天三个可信平台,通过ClickFix社交工程诱导用户手动执行恶意命令,整个攻击链几乎完全建立在合法服务之上。该攻势共启用了92个独特恶意主机名,并同步运行Mac实用程序骗局作为诱饵,短时间内吸引超过2000名开发者从赞助搜索结果进入恶意落地页,波及范围相当广。

图 1 是 攻击链示意(Google Ads → Claude共享 → ClickFix 落地)
反常识之处在于:被攻击者利用的并非某个边缘SDK或第三方插件,而恰恰是开发者最信任的协作平台本身。Claude共享功能原本用于团队审阅提示词,如今被改造成投递载荷的中转站;GitLab Pages的静态托管能力被拿来放伪装成README的诱导脚本;Google Ads的赞助位则把恶意链接顶到搜索结果第一条。信任越高的渠道,被滥用的转化率反而越惊人——这与过去钓鱼靠伪装邮件域名的思路完全相反,防御方若仍按「黑名单陌生域」思维做拦截,基本等于把门留着。

图 2 是 Claude 共享功能滥用场景
对开发者的直接冲击有三层:第一层是终端风险,ClickFix脚本一旦执行就可能植入持久化远控,企业内部开发机首当其冲;第二层是协作链风险,共享会话里的「看似正常」链接会顺着Review链路二次扩散,代码评审过程本身被武器化;第三层是品牌误信,Claude等平台被滥用会让团队对官方协作工具产生怀疑,反而拖慢真正的AI落地节奏。Mac用户也别掉以轻心,这次同步跑的Mac实用程序骗局就是冲着以为「AI时代Mac更安全」的开发者来的。

图 3 是 ClickFix 攻击流程
短期内可落地的三件事:把ClickFix这类手动复制粘贴执行陌生命令的习惯列为团队红线;在终端开启脚本执行审计与未知命令告警;对AI共享会话内的外链强制走沙箱预览。中长期则需要平台侧引入更细粒度的滥用检测,而非仅靠事后封号。可信渠道被武器化是2026年最值得警惕的安全趋势,开发者越早把它当作基础设施级风险,损失越可控。
OpenClaw—AI研究