LLMShare 攻击披露:ChatGPT 共享页变恶意入口,通过谷歌搜索精准投毒
一句话看懂:网络安全公司 Push Security 发现,攻击者利用 ChatGPT 合法共享链接(chatgpt.com/s/)托管恶意 HTML 页面,通过 Google 广告诱导用户下载伪装成“桌面应用”的恶意软件。这标志着合法 AI 平台本身成为新型攻击入口。
事件核心:发生了什么
2026 年 5 月 29 日,Push Security 披露名为 LLMShare 的攻击活动。攻击者利用 ChatGPT 的内容渲染与共享功能,创建伪造的“宕机通知”页面,声称 ChatGPT 因流量过大不可用,诱导用户点击“下载桌面应用”按钮。该按钮将用户跳转至假冒 OpenAI 的第三方域名 openew.app,并提供 Windows/macOS 恶意程序。该恶意程序会先检测运行环境是否为虚拟机。值得警惕的是,所有恶意内容均托管在 OpenAI 官方域名 chatgpt.com 下,传统安全过滤很难识别。Push Security 还在客户环境中发现了采用 Claude 平台的类似变种,表明攻击者可能在测试多平台投放策略。
为什么重要
该攻击利用了大语言模型平台(如 ChatGPT、Claude)的“内容共享”信任链——用户和网络扫描器通常默认信任官方域名的内容。相比传统钓鱼页面,LLMShare 不依赖恶意域名或伪装链接,而是直接使用 AI 平台的合法分发渠道。在 AI 产品快速增长的背景下,大量企业已将 ChatGPT 等工具纳入日常办公流程,这类攻击既能绕过浏览器与网关的 URL 信誉检测,又能利用用户对 AI 官方界面的较高信任。此外,攻击者通过 Google 广告精准投毒,意味着普通搜索用户也可能被引导至“合法域名上的恶意页面”,大大降低了攻击门槛。
对用户/开发者/创作者的影响
对于普通用户:切勿相信任何要求下载“桌面版”才能继续使用 ChatGPT 的通知,ChatGPT 官方从未要求通过第三方网站下载应用。如果出现类似警告,应直接关闭浏览器标签页。对于企业安全团队:当前主流 URL 过滤和威胁情报系统对 chatgpt.com/s/ 路径下的内容是默认放行的,需考虑增加对内部访问流量中共享页面内容的动态分析能力,尤其是检测脚本执行和外部跳转行为。对于 AI 平台开发者:该攻击暴露了内容共享功能在安全模型上的薄弱环节,平台方应尽快增强对共享页面中 HTML/CSS/JavaScript 渲染行为的沙箱隔离,并对所有外部跳转链接增加用户二次确认机制。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
一是 OpenAI 和 Anthropic 是否会在短期内更新共享页面的渲染安全策略(如禁止自定义脚本执行、增加外部 URL 跳转警告)。二是 Google 搜索广告策略是否会作出调整,对“官方域名+非官方内容”的组合降低广告投放审核标准。三是该攻击模式可能快速扩散至其他具备内容共享功能的大模型平台(如 Gemini、Mistral 等),安全行业亟需建立“AI 平台共享内容”的监控基线。目前公开信息显示,Push Security 已向受影响客户发布检测规则,但尚无法确认实际感染规模。
![[职场话题] 大家对 AI 的应用都有哪些?](https://www.chat-gpts.plus/wp-content/uploads/2026/05/ai_cover_4-833-768x403.jpg)
