研究人员显示 Copilot 和 Grok 可被滥用为恶意软件 C2 代理

Source: The Hacker News

Ravie Lakshmanan
2026年2月17日 – 恶意软件 / 人工智能

AI 作为 C2 代理

该攻击方法已在 Microsoft Copilot 和 xAI Grok 上演示，已被 Check Point 命名为 AI as a C2 proxy。

“它利用 匿名网络访问结合浏览和摘要提示，” 网络安全公司说。 “同一机制还可以实现 AI‑辅助的恶意软件操作，包括生成侦察工作流、脚本化攻击者行为，以及在入侵过程中动态决定‘下一步该做什么’。”

为什么这很重要

该发展标志着威胁行为者可能滥用 AI 系统的又一次重要演变——不仅可以 在网络攻击周期的不同阶段实现规模化或加速，还可以利用 API 在运行时动态生成代码，使其行为能够根据从受感染主机收集的信息进行自适应，并规避检测。

AI 工具已经成为 对手的力量倍增器，使他们能够将关键步骤外包——包括侦察、漏洞扫描、编写可信的钓鱼邮件、创建合成身份、调试代码或开发恶意软件。将 AI 用作 C2 代理 则更进一步。

技术工作原理

该技术本质上利用了 Grok 和 Microsoft Copilot 的网页浏览及 URL 抓取功能，获取攻击者控制的 URL 并通过它们的网页界面返回响应，从而将 AI 服务转变为双向通信通道，能够：

1. 接受操作员下达的指令。
2. 将受害者数据隧道传出。

所有这些都 无需 API 密钥或注册账户，使得传统的缓解措施（如密钥撤销或账户封禁）失效。

换一种角度来看，这种做法类似于将受信任服务武器化用于恶意软件分发和 C2 的攻击活动，也被称为 利用受信任站点（LOTS）。

攻击流程

为了使该技术可行，威胁行为者必须先通过其他手段入侵一台机器并安装恶意软件。随后，恶意软件使用 Copilot 或 Grok 作为 C2 通道，通过发送特制的提示，使 AI 代理联系攻击者控制的基础设施，并返回要在主机上执行的命令。

Check Point 还指出，攻击者可以超越仅生成命令的阶段，利用 AI 代理制定规避策略，并通过传递系统细节并验证目标是否值得利用，来决定下一步行动。

“一旦 AI 服务可以用作隐蔽的传输层，同一接口也可以携带提示和模型输出，充当外部决策引擎——这是一条通向 AI 驱动植入物和 AIOps 风格 C2 的垫脚石，能够实时自动化分流、目标选择和运营决策。”——Check Point 说。

相关研究

该披露发生在 Palo Alto Networks Unit 42 展示了一种新颖攻击技术数周后，该技术利用客户端 API 调用受信任的大语言模型（LLM）服务，实时动态生成恶意 JavaScript，将看似无害的网页转变为钓鱼站点。

该方法类似 Last Mile Reassembly (LMR) 攻击，它通过未监控的渠道（如 WebRTC 和 WebSocket）在网络中走私恶意软件，并直接在受害者的浏览器中组装，从而有效绕过安全控制。

“攻击者可以使用精心设计的提示词绕过 AI 安全防护栏，诱骗 LLM 返回恶意代码片段，” Unit 42 研究员 Shehroze Farooqi、Alex Starov、Diva‑Oriane Marty 和 Billy Melicher 说。

文章摘录

“这些代码片段通过 LLM 服务 API 返回，然后在运行时在受害者的浏览器中组装并执行，形成一个功能完整的钓鱼页面。”
— Source: ascript‑through‑llms/

关注我们获取更多独家内容

• Google News –
• Twitter –
• LinkedIn –

分享此文章

var share_url   = encodeURIComponent('https://thehackernews.com/2026/02/researchers-show-copilot-and-grok-can.html');
var share_title = document.getElementsByTagName("title")[0].innerHTML;
share_title = encodeURIComponent(share_title);

分享按钮

（图标已替换为纯文本以便清晰显示。）

• 人工智能
• 云安全
• 指挥与控制
• 网络犯罪
• 网络安全
• 企业安全
• 恶意软件
• 网络钓鱼
• 威胁情报
• 漏洞