想象一下,你从网上下载了一个代码仓库,用AI编程助手打开,它请求你批准一个看似无害的文件复制操作。你点了批准。然后,你的电脑就被控制了。
这不是危言耸听,而是安全研究人员发现的一种新型攻击技术,命名为SymJack。攻击者只需要准备一个精心构造的恶意代码仓库。当你用AI编程助手打开这个仓库时,它会自动读取项目中的指令文件,要求执行一些常规操作,比如复制文件。由于操作看起来完全良性,AI编程助手会向你发起批准请求,而你看到的只是一个简单的文件复制操作。

问题的关键出在这个复制操作上。攻击者在仓库中预先设置了特殊指向,将复制目标悄悄指向了AI编程助手的配置文件。当你批准复制命令后,系统实际写入的是AI编程助手的配置文件,而不是你以为的那个普通目录。下一次AI编程助手重启时,被篡改的配置就会生效,攻击者的代码便以你的用户权限在系统中运行。整个过程,你只批准了一个文件复制操作,而对即将发生的攻击毫不知情。
研究人员的测试表明,这个攻击手法对市面上主流的AI编程助手普遍有效。问题的根源是这类工具共同的设计缺陷:它们向你展示的批准请求,并没有准确反映系统即将执行的实际操作。你被告知要复制一个普通文件,但实际上是在改写配置文件。这种信息不对称,让批准机制形同虚设。
攻击的完整流程如下。攻击者创建一个看似正常的代码仓库,里面包含项目指令文件、伪装成普通文件的恶意载荷,以及指向AI编程助手配置文件的特殊链接。当你用AI编程助手打开仓库时,它会读取指令文件,要求执行复制操作。你批准后,系统沿着特殊链接将恶意载荷写入配置文件。下次AI编程助手启动时,攻击者的代码便开始运行。
在个人电脑上,这种攻击需要一次批准。但在自动化构建环境中,情况更糟。这些环境通常会自动批准操作,攻击链可在无人工干预下完整执行,窃取部署密钥、云凭证等敏感信息。这本质上是一种以AI编程助手为投递机制的供应链攻击。
对于开发者和企业而言,这意味着使用AI编程助手时存在一个尚未被广泛认知的风险。一个看似正常的代码仓库,一次看似无害的批准操作,就可能导致系统被完全控制。随着AI编程助手的普及,这类攻击的威胁面正在迅速扩大。
夜雨聆风