攻击者滥用共享的ChatGPT和Claude聊天来传播恶意软件。

一个看似寻常的技术特性，在恶意分子手中变成了一把精准的钥匙。当主流大模型平台竞相将“对话分享”作为提升用户体验和传播能力的核心功能推出时，安全风险的种子也随之埋下。这次事件的核心矛盾，在于平台为了便利性与品牌露出而设计的信任机制，恰恰成了攻击者最渴望的保护色。

安全工具通常会对来自未知或可疑域名的链接、文件保持高度警惕，这是防御恶意攻击的基础逻辑。然而，当恶意内容被封装在 chat.openai.com 或 claude.ai 这样的顶级可信域名链接中时，绝大多数企业的防火墙、邮件安全网关乃至终端防护软件都会本能地放行。攻击者利用的正是这种根植于数字世界底层的“域名信任”原则。他们不再需要费尽心机诱导用户访问一个陌生网站，只需在合法的、每天被无数人正常访问的平台上，埋下一个精心构造的陷阱。这像在图书馆的推荐书目里夹入一张传单，利用人们对场所本身信誉的信赖，完成了一次“认证过”的投毒。

这种攻击方式的阴险之处在于，它将检测压力完全转移给了最终用户和AI平台本身。传统的安全防线在此近乎失效。当一个用户收到朋友或同事发来的、看起来是ChatGPT总结报告的链接，点开后看到一段看似专业的“错误代码”或“更新指南”，并被提示“需要复制这段代码执行以修复问题”时，警惕性会大幅降低。攻击成功的关键，从技术漏洞转向了社会工程学，利用了人们对AI助手输出的默认信任以及对技术故障的焦虑。

对于OpenAI和Anthropic这样的平台方而言，这无疑敲响了一记警钟。分享功能的代码生成、渲染和执行环境，是否设立了足够的沙箱隔离？对于用户在对话中粘贴的、意图被分享和执行的代码片段，是否有自动化的内容安全扫描机制？平台不能仅仅将自己定义为内容生成的“画布”，也必须成为恶意内容在传播路径上的“安检口”。分享按钮的背后，需要一套完整的内容安全审核与风险标注体系，比如对包含可执行代码、系统命令的分享内容进行强制风险提示，甚至暂时禁用某些高风险内容的交互性。

从更宏观的视角看，这是大模型深度融入社会生活后，其“超级入口”属性所带来的必然反噬。当人们习惯于向AI提问、让AI写代码、用AI总结一切，攻击者的靶心就从操作系统、应用程序，转向了AI这个中枢交互层。未来的网络安全战线，将不得不把大模型平台的内容生成与分享生态，纳入关键基础设施的防护范畴。这不仅仅是修补一个功能漏洞，更是对整个AI时代信任链的一次压力测试。防御的起点，或许要从重新评估我们对“可信数字原生内容”的默认态度开始。