头脑风暴·想象篇
想象一下:你正坐在办公桌前,手里拎着一杯刚泡好的咖啡,打开 Chrome 浏览器,点开新装的 AI 助手插件,输入“一行 Python 代码帮我把 CSV 文件按日期排序”。屏幕上立刻弹出答复,代码复制到剪贴板,你满意地点了“保存”。可是,你并不知道,同一时刻,一个隐藏在插件背后的“黑客小子”正以每 30 秒一次的节奏,将这段代码、你的公司内部项目名称、甚至打开的企业内部系统链接,悄悄打包发送到它们位于欧洲的 C2 服务器。
这并非科幻,而是 2026 年 2 月 在全球范围内被曝光的两起 “Prompt Poaching(提示窃取)” 事件的真实写照。仅在短短两周内,超过 90 万 浏览器用户被这类伪装成 ChatGPT、Claude 等知名大模型的 Chrome 扩展所欺骗,导致企业核心资产、研发代码、商业计划甚至会话凭证被系统性抽走。
下面,我将通过 两个典型案例,从攻击链、危害面与防御失误三个维度进行深度剖析。随后,我会结合当下 数据化、信息化、智能体化 融合发展的趋势,阐释为何 信息安全意识培训 已不再是可选项,而是每位职工的必修课。请随我一起踏上这场“暗流”探险之旅,寻找防护的灯塔。
案例一:伪装 ChatGPT 插件的 “代码泄露” 劫案
1️⃣ 事件概述
2026 年 2 月,安全研究团队在 Chrome 网上应用店(Chrome Web Store)发现了两个声称提供 “AITopia AI 侧边栏” 功能的插件。其中 插件 A(“AITopia – ChatGPT Sidebar”)在不到两周的时间里累计 600,000+ 次安装,并获得了 Google 官方的 “Featured(精选)” 徽章;插件 B 则在同一时间段内被 300,000+ 用户下载。两者均具备完整的聊天交互界面,支持文本、代码块、文件上传等功能,外观与官方产品几乎无差。
2️⃣ 攻击路径
| 步骤 | 说明 |
|---|---|
| 诱导安装 | 插件页面采用“高评分 + 官方精选”标签,诱导用户误以为安全可信。 |
| 权限扩张 | 安装时请求 “read and change all your data on the websites you visit”(读取并修改所有访问网站的数据)以及 “manage tabs”(管理标签页)等高危权限。 |
| 数据收集 | 插件在用户与 AI 对话时,抓取 完整 Prompt(提示)、AI 回复、剪贴板内容、打开的 URL、浏览器标签标题。 |
| 定时外发 | 每 30 分钟通过 HTTPS POST 将收集的 JSON 数据包发送至 deepaichats[.]com(攻击者控制的 C2 域名)。 |
| 隐蔽持久 | 通过 Service Worker 背景脚本保持运行,即便浏览器关闭也能在系统托盘中继续执行。 |
3️⃣ 直接危害
- 源代码泄露
很多研发人员习惯在 ChatGPT 中粘贴 未发布的源码段,例如内部算法、加密实现或专利相关代码。攻击者获取后,可用于 技术剽窃、竞争对手逆向、或在暗网出售。 - 业务计划外泄
“请帮我写一份季度市场分析报告”这类 Prompt 直接映射了公司的 商业策略、产品路线图,一旦泄露,竞争对手可提前布局抢占市场。 - 个人隐私泄露
插件还能读取 用户的电子邮件、聊天记录(在打开的网页中),导致 个人身份信息(PII) 甚至 企业账号凭证 受损。
4️⃣ 防御失误
- 企业未对浏览器插件进行白名单管理:多数公司只监管终端防病毒,而忽略 扩展层面的管控。
- 缺乏对外向流量的细粒度监控:HTTPS 隧道流量被误认为普通浏览行为,未触发异常报警。
- 用户安全意识薄弱:对“Chrome 网上应用店即为官方渠道”的误解导致大量下载。
5️⃣ 经验教训
- 插件权限审计:任何请求 “读取所有网站数据” 的扩展必须经过 安全评估。
- 网络层面异常检测:对 固定间隔的大批量 POST 行为设置阈值报警。
- AI 使用治理:在企业内部建立 AI Prompt 审计平台,对涉及机密信息的 Prompt 进行脱敏或拒绝。
案例二:伪装 AI Sidebar 的 “内部链接窃取” 案
1️⃣ 事件概述
同一时期,另一家安全公司报告称,在 美国某大型制造企业 内部网络中,发现了 一款名为 “AICode Companion” 的 Chrome 扩展。该扩展同样以 AI 助手 为卖点,声称可以自动生成代码、做技术文档。企业内部约 12,000 员工中,有 2,800 人安装了此插件。随后,企业安全团队在 网络流量日志 中捕获到异常的 POST https://deepaichats[.]com/collect 请求。
2️⃣ 攻击路径(与案例一相似但重点不同)
- 权限请求:同样请求 “read all data on all websites”。
- 标签页抓取:插件通过
chrome.tabs.query获取 所有打开的标签页 URL、标题、Cookie。 - 会话令牌抽取:若页面内含 JWT、SAML、OAuth2 等 token,插件会尝试读取 document.cookie 并发送。
- 分块外发:为规避流量阈值,数据被拆分为 10KB 小块,每块间隔 5 秒发送。
3️⃣ 直接危害
- 内部系统探测
通过收集 内部 URL(如 https://intranet.company.com/wiki, https://crm.company.com/dashboard),攻击者快速绘制 企业网络拓扑图,为后续渗透提供 攻击面。 - 会话劫持
若用户在浏览器中已登录企业 SSO,插件获取的 session cookie 可直接被攻击者用于 冒充登录,导致 数据泄露、权限提升。 - 供应链风险
通过获取 内部 API 文档 URL,攻击者可逆向接口,利用 未授权调用 对业务系统进行 数据抽取 或 破坏。
4️⃣ 防御失误
- 缺少浏览器扩展可视化管理:企业未在 Chrome Enterprise Policy 中统一禁止自行安装扩展。
- 内部系统未启用 SameSite、HttpOnly** 标志**:导致 Cookie 可被 JavaScript 读取。
- 日志审计未覆盖 浏览器进程:只监控服务器流量,忽略 客户端** 的异常行为。
5️⃣ 经验教训
- Cookie 安全加固:对所有关键登录会话使用 Secure、HttpOnly、SameSite=Strict。
- 端点行为监控(EDR):部署具备 API 调用监控、文件系统/浏览器进程行为分析 的端点安全平台。
- 浏览器策略强制:在企业域内强制 Chrome 扩展白名单,未列入的自动阻断。
何为“暗流”——从案例走向全局视角
1️⃣ 数据化、信息化、智能体化的三位一体
| 维度 | 关键技术 | 对安全的影响 |
|---|---|---|
| 数据化 | 大数据平台、数据湖、实时分析 | 数据资产价值提升,成为攻击者的高价值目标。 |
| 信息化 | ERP、CRM、内部协同工具(钉钉、企业微信) | 信息系统互联互通,横向渗透路径增多。 |
| 智能体化 | 大语言模型、生成式 AI、AI 助手插件 | Prompt Poaching 等新型泄密方式出现,“影子 AI” 成为盲区。 |
这三者相互交织,使得 企业攻击面的体积呈指数级增长。过去我们只防御 恶意代码 与 钓鱼邮件,而今天的攻击者更倾向于 “合规外的工具”——如未受管控的 AI 插件、私有云 API、甚至 内部 ChatGPT 会话。
2️⃣ “Shadow AI”——看不见的安全漏洞
正如 BlackFog 2025 年的研究报告指出:约 60% 员工在面对 业务截止压力 时,会自行搜索并使用未经批准的 AI 工具 来提升效率。这种“Shadow AI”行为带来了两大隐患:
- 技术资产外泄(如案例一的代码窃取)。
- 业务情报泄露(如案例二的内部链接、会话信息)。
AI 不是魔法,它的强大来源于 海量数据,一旦被恶意获取,后果不可估量。
3️⃣ “安全意识培训”——从被动防御到主动防护的跃迁
在这个 AI 赋能 的时代,传统的 技术硬防 已无法单独抵御 软弱链路(如员工行为、插件使用)。安全意识培训 必须做到:
- 情境化:通过真实案例让员工感受“我可能就在下一个受害者”。
- 可操作性:提供 明确的操作指引(如如何查看插件权限、如何报告异常)。
- 持续性:采用 微课+实战演练 的方式,避免“一次性灌输”。
- 评估闭环:通过 考核、红蓝对抗 等方式检验培训效果,形成 改进闭环。
我们的行动计划——让每一位职工成为安全的第一道防线
1️⃣ 立即启动 “AI 安全与合规” 主题培训
| 时间 | 内容 | 方式 | 目标 |
|---|---|---|---|
| 第一周 | AI 助手风险认知(案例复盘、威胁模型) | 线上直播 + 互动问答 | 让全体员工了解 Prompt Poaching 的真实危害。 |
| 第二周 | 浏览器扩展安全配置(Chrome 企业策略、权限审计) | 现场演练 + 实操实验室 | 掌握 插件白名单、权限最小化的配置方法。 |
| 第三周 | AI Prompt 治理(敏感信息脱敏、审计日志) | 案例研讨 + 实战演练 | 建立 AI 使用合规流程,防止泄密。 |
| 第四周 | 数据防泄露技术(EDR、DLP、网络流量监控) | 线上实验 + 工具实操 | 熟悉 端点防泄露 与 网络异常检测 的基本操作。 |
| 持续 | 安全意识微课堂(每周 5 分钟) | Slack/企业微信推送 | 长效强化安全习惯。 |
小贴士:培训期间,请在公司内部 “黑名单” 中加入任何未经过审批的 AI 插件;若发现可疑行为,请立即使用 BlackFog ADX 或公司自研的 数据泄露阻断 工具进行隔离并上报。
2️⃣ 建立 “AI 风险治理平台”
- AI 使用登记:每位员工在 内部门户 填写所使用的 AI 工具名称、用途、数据类型。
- 实时监控:通过 ADX Vision 对终端的 浏览器进程、网络请求 进行行为分析,自动标记异常。
- 风险评估:结合 业务敏感度 与 数据流向,生成 风险评分,对高风险用户实施 强制审计。
3️⃣ 强化技术防线
| 技术 | 作用 | 关键配置 |
|---|---|---|
| Chrome Enterprise Policy | 限制插件安装、强制白名单 | ExtensionInstallForcelist、ExtensionAllowedTypes |
| SameSite=Strict + HttpOnly | 防止浏览器脚本读取会话 Cookie | 所有 SSO、内部系统统一配置 |
| EDR + DLP | 行为监控、敏感数据阻断 | 启用 文件写入监控、跨进程 IPC 检测 |
| 网络层代理 + DNS 过滤 | 阻止未知外发域名、异常 POST | 阻断 *.deepaichats.com、监控 POST /collect |
结语:让安全成为每一次点击的自觉
正如《孙子兵法》所言:“上兵伐谋,其次伐交,其次伐兵,其下攻城。” 在 AI 时代,“伐谋” 即 预防信息泄露,而 “伐交” 则是 限制不受管控的工具,“伐兵” 与 “攻城” 则是传统的恶意软件防御。若我们只关注后两者,而忽视了 “伐谋”——即 员工的安全意识与行为治理,那就像在城墙外筑起高塔,却忘了城门已经被悄悄打开。
安全不是技术团队的专利,也不是高层的口号,它是每一位职工在日常工作中的自觉行动。从今天起,让我们一起:
- 拒绝随意安装未知插件,即使它标榜“官方推荐”。
- 审视每一次 AI Prompt,判断是否涉及机密信息。
- 使用公司提供的安全工具,如 BlackFog ADX,及时阻断异常流量。
- 积极参与安全培训,把学习成果转化为工作中的防护措施。
- 相互提醒、共同监督,形成全员参与的安全文化。
让我们在 数据化、信息化、智能体化 的浪潮中,保持清醒的头脑和坚定的底线。只有每个人都成为 “安全第一线”,企业才能在激流中稳健前行,乘风破浪,抵达 数字化转型 的光明彼岸。
—— 让安全意识成为你每日登录的第一步,像输入密码一样自然。
关键词
昆明亭长朗然科技有限公司研发的安全意识宣传平台,为企业打造了一套可操作性强、效果显著的员工教育体系。我们的平台易于使用且高度个性化,能够快速提升团队对信息安全的关注度。如有需求,请不要犹豫地与我们联系。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898