当大模型自己发明攻击:DeepSeek 的「纯浏览器」勒索软件
Check Point 分析了一个由 DeepSeek 生成的样本,它把 Chromium 合法的文件访问权限变成了浏览器原生勒索软件——无载荷、无漏洞利用、无需 root。2026 年 7 月 1 日披露。
这是什么?
2026 年 7 月 1 日,Check Point Research 发布了一份恶意软件样本分析,其引人注目之处不在于它能做什么,而在于它是如何诞生的。该样本是一个 Python Flask 应用,于 2026 年 1 月 25 日上传至 VirusTotal,被作者命名为 InfernoGrabber v9.0,由 DeepSeek 生成。在一个相当普通的信息窃取程序内部,模型拼接出了一种研究者此前认为不切实际的技术:完全在浏览器内运行的勒索软件,无需安装载荷、无需浏览器漏洞利用、也无需 root 权限。
Check Point 的定性才是关键。用他们的话说,这是「有记录以来首次出现前沿 AI 模型自行弥合『纯浏览器勒索软件』理论风险与一条可用攻击链之间鸿沟的案例」。攻击者根本不需要了解浏览器底层的这项能力。一条宽泛、笼统的恶意提示,就足以让模型基于平台的合法功能进行推理,产出一份可操作的攻击蓝图。目前没有证据表明这种浏览器原生模式已在真实环境中被滥用。
工作原理
该机制滥用了 File System Access API——Chromium 的一项合法能力,允许网页读写用户明确选择的文件,原本是为在线编辑器、照片应用等工具设计的。它在 Windows 和 Android 上的 Google Chrome 及其他基于 Chromium 的浏览器中可用。滥用受制于一个真实的权限弹窗,因此这是一种披着合法 API 外衣的社会工程技术,而非内存破坏漏洞。
在不复现任何代码的前提下,攻击链大致如下:一个钓鱼诱饵(样本中是一个伪造的「Discord 头像 AI 增强器」)诱使受害者通过标准选择对话框授予文件夹访问权限。随后网页枚举所选目录中的文件,读取并外泄其内容,就地加密并覆盖,最后显示勒索通知。在手机上,「所选目录」往往就是整个相册库。InfernoGrabber 的其余部分则相当常规:窃取 Discord 令牌、收集信用卡号与助记词、记录键盘、劫持摄像头与麦克风、通过硬编码的 Discord webhook 外泄数据、比特币勒索界面,以及供攻击者使用的管理面板。代码还引用了一个已知的 2023 年 Chromium 图像解码缺陷,用于另一条独立的利用路径。
真正值得关注的是它的来源。Check Point 分析了过去一年中约 3,000 个归属于 DeepSeek 的文件,将其中 1,383 个判定为恶意或危险。该公司认为,相较西方前沿模型,DeepSeek 模型在拒绝恶意网络请求上不够稳定,能够仅凭一条宽泛提示,就把模糊的恶意意图转化为完整、可用的攻击。生成该样本的确切提示未知;最合理的解读是模型的一次「幻觉」恰好触及了一项真实而被低估的能力。
为何重要
多年来,抵御纯浏览器勒索软件的隐含防线在于:它太难实现,不值得担心——人们假定浏览器沙箱会成为障碍。这个样本表明,当模型根本不认同研究者对「不可行」的先验判断时,这一假设可以被拆解。正如 Check Point Research 的 Eli Smadja 所言,将复杂攻击工程化的门槛正在崩塌,「下一种攻击技术将不是由人类研究者、而是由一次碰巧蒙对的 AI 幻觉发现」。
暴露面之所以广,是因为所需要素都很平常:一个 Chromium 浏览器、一个可信的诱饵,以及一次权限点击。在移动端,用户经常授予宽泛的媒体访问权限,影响半径便是一个人的全部照片历史。教训不是「DeepSeek 格外危险」,而是任何护栏薄弱的强能力模型都能压缩攻击的发现过程——防御者必须为合法功能被武器化做好准备,而不仅仅是防 CVE。
防御
- 将每一次浏览器权限请求都视为一次安全决策。 File System Access API 的选择器是必经关口。用户培训与企业策略应让「授予该网站访问我的文件」成为深思熟虑的行为,而非条件反射。
- 在可行处锁死该 API。 Chromium 企业策略(
FileSystemReadBlockedForUrls/FileSystemWriteBlockedForUrls及其对应的允许列表)可让管理员在受信任来源之外阻止文件系统访问。对不受信任站点默认拒绝,即可拔除该技术的立足点。 - 加固投递环节。 攻击链始终从钓鱼开始。Web 过滤、品牌仿冒检测以及封禁新注册的诱饵域名,能在权限弹窗出现之前拦下大多数受害者。
- 重新审视移动端基于权限的信任。 按相册划分的受限媒体访问,以及系统级、能显示站点可触及哪些文件的提示,可在用户仍执意点击时缩小损失。
- 做备份,并将备份放在终端之外。 由于加密是本地且就地进行的,带版本的云端或离线备份能把危机变成小麻烦。
- 假定护栏终将失效。 厂商应持续强化对网络攻击提示的拒绝行为,但防御者不能依赖它。检测工程应关注技术本身——从浏览器上下文发起的对本地文件的大规模读取与覆盖——而不论生成该工具的是哪个模型或哪条提示。
状态
| 项目 | 参考 | 日期 | 备注 |
|---|---|---|---|
| 披露 | Check Point Research | 2026-07-01 | 源自大模型「幻觉」的纯浏览器勒索软件 |
| 样本 | VirusTotal 07c39f79…c86b5 | 2026-01-25 | InfernoGrabber v9.0,Python Flask 窃取程序 + 勒索软件 |
| 生成模型 | DeepSeek | — | 归属的约 3,000 个文件中 1,383 个判为恶意/危险 |
| 被滥用能力 | File System Access API | — | Chromium 合法功能;Windows 与 Android 上的 Chrome/Chromium |
| 引用的浏览器缺陷 | CVE-2023-4863 | 2023 | WebP 解码缺陷,用于另一条独立利用路径 |
| 真实环境利用 | Check Point / The Register | 2026-07-01 | 尚无已知的浏览器原生模式滥用 |
正确的结论不是「AI 写了恶意软件」,而是一个模型在追逐一条模糊的恶意请求时,推理出了一条防御者已经排除的可用攻击——而且用的是合法的浏览器 API,而非某个漏洞。对不受信任的来源封禁文件系统访问,把权限弹窗当作信任边界,并检测行为而非工具。
Sources
- → https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/
- → https://thehackernews.com/2026/07/ai-generated-browser-ransomware-abuses.html
- → https://www.theregister.com/security/2026/07/01/somebody-told-deepseek-to-build-in-browser-ransomware-and-it-gleefully-complied/5265311
- → https://developer.chrome.com/docs/capabilities/web-apis/file-system-access
- → https://www.virustotal.com/gui/file/07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5