2026年4月的某个工作日,一位后端开发者在搜索引擎中输入”Claude desktop app download”。排在前列的结果中,有一个页面看起来与Anthropic官网几乎一模一样——相同的品牌配色、相同的产品描述、相同的”Get Started”按钮。他点击下载,获得一个ZIP文件,解压后双击了里面的安装程序。30秒后,一个存在超过10年的远控木马PlugX已经在他的系统中完成部署,攻击者获得了对他电脑的完全控制权——包括他的代码仓库、API密钥和云服务凭证。

这不是虚构的场景。2026年4月,多家安全机构同时报告了一起精心策划的恶意软件分发事件:攻击者注册了与Anthropic官方域名高度相似的仿冒域名,搭建了视觉上几乎无法区分的假冒Claude产品页面,通过DLL侧载技术向用户分发PlugX远程访问木马(RAT)。(来源: Malwarebytes, 2026-04-18; SecurityWeek, 2026-04-17)

攻击链并不复杂:域名仿冒、伪装安装包、DLL侧载、远控植入,4步完成从”信任”到”沦陷”的全过程。PlugX是一款被APT组织使用了超过10年的老牌远控工具,DLL侧载也是教科书级别的攻击手法。真正值得深度分析的问题是:为什么攻击者选择了Claude的品牌作为社会工程的载体? 这个选择本身揭示了一个行业级的安全命题——AI品牌的认知度和信任度已经高到黑客愿意为其量身定制钓鱼基础设施的程度,而AI公司的安全责任边界正在从”产品安全”不可逆转地扩展到”品牌资产防护”。

一句话概括这次事件的深层含义:建设品牌信任需要数年和数十亿美元,武器化品牌信任只需要一个域名、一个ZIP文件和一个14年前的木马。

第一章:事件还原——一个假冒Claude官网如何骗过用户

一个看似合理的下载页面

根据Malwarebytes的分析报告,该仿冒站点在页面设计、品牌元素和用户引导流程上都做了精细的模仿。对于一个普通用户——尤其是一个急于尝试Claude最新功能的AI爱好者或开发者——这个页面呈现出的”合法性信号”是足够强的。用户点击下载按钮后,获得的是一个ZIP压缩包,而非标准的安装程序。(来源: CyberNews, 2026-04-17; Malwarebytes, 2026-04-18)

截至各安全机构发布报告时,该仿冒站点的具体存活时长、被下载次数及受影响用户规模尚未被公开披露。但考虑到该站点被Malwarebytes、SecurityWeek、SC Magazine、Trend Micro等至少5家独立安全机构几乎同时报告,可以合理推断其传播范围已达到引起行业关注的程度。

核心矛盾:Claude本不需要”安装程序”

这里存在一个关键的认知盲区,也是整个骗局能够成立的社会工程学基础。

Claude的核心服务是通过网页端(claude.ai)和API提供的云端AI服务。虽然Anthropic确实推出了Claude桌面应用(通过macOS App Store和Windows应用商店分发)和Claude Code命令行工具(通过npm安装),但大量用户对于”Claude到底需不需要下载安装”、”官方安装包从哪里获取”这些基本问题并没有清晰的认知。AI工具生态的快速迭代——今天是网页版,明天可能就有桌面客户端、命令行工具、IDE插件——使得”下载一个新的AI工具安装包”这件事在用户心智中并不违和。

Trend Micro的研究进一步指出,攻击者不仅仿冒了Claude的品牌页面,还利用了用户对AI开发者工具(如Claude Code)的信任信号,甚至借助GitHub Release等开发者熟悉的分发机制来增强欺骗效果。(来源: Trend Micro, 2026-04)

这与传统的软件钓鱼有本质区别。当攻击者仿冒Adobe Acrobat或Microsoft Office时,用户至少有一个长期建立的”我应该从哪里下载”的心智模型——去Adobe官网或Microsoft Store。但AI工具的分发渠道尚未在用户心智中固化。Claude的用户可能通过搜索引擎、社交媒体链接、技术论坛推荐、Hacker News帖子等多种非官方渠道接触到下载链接,而每一条非官方渠道都是潜在的攻击入口。

7ai的安全研究博客将这一现象概括为”当受信任的工具成为攻击面”——AI开发者工具链的快速扩张正在创造一个前所未有的信任滥用场景。(来源: 7ai Blog, 2026-04)

第二章:攻击链技术拆解——从ZIP到PlugX的4步杀伤链

这次攻击的技术路径可以被分解为4个清晰的阶段。每一步都不是新技术,但组合在一起,形成了一条高效且具有一定免杀能力的攻击链。

第1步:伪装下载——Trojanized ZIP

用户从仿冒网站下载到的是一个ZIP压缩包。根据Security Affairs和SOC Prime的报道,这个ZIP文件被精心构造,内部包含多个文件,其中至少包括一个看似合法的可执行文件(.exe)和一个恶意的动态链接库文件(.dll)。文件命名和图标设计都经过精心处理,以最大化用户的信任感。(来源: SOC Prime, 2026-04; Security Affairs, 2026-04)

ZIP格式本身在这里扮演了一个重要角色。与直接分发.exe文件相比,ZIP文件在某些安全扫描场景下可能获得更宽松的检测待遇——根据安全行业的普遍观察,浏览器对直接下载的.exe文件的警告拦截率通常高于.zip文件(编者注:具体拦截率差异因浏览器和安全配置而异,此处为行业通识性判断)。更关键的是,ZIP文件可以将多个攻击组件打包在一起,为后续的DLL侧载创造必要的文件结构条件。

第2步:合法签名的可执行文件——信任的跳板

ZIP包内包含的可执行文件(.exe)是一个具有合法数字签名的程序。这是整个攻击链中最精妙的环节之一。

这个.exe文件本身并不包含任何恶意代码。它是一个真实的、由合法软件厂商签名的应用程序。攻击者之所以选择它,是因为这个程序在启动时会按照Windows的DLL搜索顺序,从其所在目录加载特定名称的DLL文件。这就是DLL侧载(DLL sideloading)攻击的核心前提条件。(来源: SC Magazine, 2026-04-17; Malwarebytes, 2026-04-18)

数字签名在这里被武器化了。当用户双击这个.exe文件时,Windows操作系统和安全软件看到的是一个”经过合法签名验证的可信程序正在启动”。许多终端安全产品在这一步会降低警觉级别,因为签名验证通过意味着文件完整性得到保证,且发布者身份可追溯。但安全产品验证的是.exe文件本身的完整性——它并不能保证该程序随后加载的DLL也是合法的。

第3步:DLL侧载——绕过检测的关键一跳

当合法签名的.exe文件启动后,它会按照预设的逻辑寻找并加载一个特定名称的DLL文件。攻击者在ZIP包中放置了一个同名的恶意DLL,利用Windows的DLL搜索优先级机制(优先从程序所在目录加载),使得恶意DLL被”合法地”加载到进程空间中。(来源: SecurityWeek, 2026-04-17; SC Magazine, 2026-04-17)

DLL侧载之所以能够绕过相当一部分安全检测,原因在于以下几点:

第一,进程信任继承。 恶意DLL的代码运行在一个合法签名程序的进程上下文中。在许多安全产品的行为监控逻辑中,来自”受信任进程”的操作会获得更宽松的审查。

第二,静态检测困难。 恶意DLL本身可能经过混淆或加密处理,其静态特征不一定能被签名库匹配。而触发加载的.exe文件是完全合法的,不会触发任何告警。

第三,攻击链的分离性。 单独分析ZIP包内的任何一个文件,都可能不会触发告警——.exe是合法的,.dll可能是加密的或混淆的,只有当两者在特定条件下组合运行时,恶意行为才会被激活。这种”组件级无害、组合级有害”的特性是DLL侧载长期有效的根本原因。

第4步:PlugX载荷释放——远控木马上线

恶意DLL被加载后,它会在内存中解密并执行最终的PlugX远控木马载荷。(来源: Malwarebytes, 2026-04-18; Ampcus Cyber, 2026-04; SOC Prime, 2026-04)

PlugX一旦在目标系统上成功部署,攻击者即获得对该系统的全面远程控制能力,包括文件操作(浏览、上传、下载、删除任意文件)、命令执行、键盘记录、屏幕截图、网络侦察(扫描内网环境为横向移动做准备)、持久化机制(通过注册表修改、计划任务、服务安装确保重启后存活)以及与C2服务器的加密通信。

整条攻击链可以用一句话概括:用户信任品牌→品牌引导下载→下载包含合法程序→合法程序加载恶意DLL→恶意DLL释放PlugX→攻击者获得完全控制。 信任的传导链条清晰而高效,每一步都在利用不同层级的信任机制——品牌信任、文件格式信任、数字签名信任、操作系统DLL加载机制的信任。

第三章:为什么是PlugX,为什么是Claude——旧木马与新品牌的危险组合

PlugX:一匹不死的老马

PlugX(也被称为Korplug、Sogu、DestroyRAT等)是一款最早可追溯至2012年的远程访问木马,最初被认为由中国关联的威胁行为者开发。在超过14年的活跃历史中,它被多个已知的APT组织使用,包括Mustang Panda(TA416)、APT10(MenuPass)、APT41(Winnti Group)、以及Bronze President等。仅Mustang Panda一个组织,就被多家威胁情报机构追踪到在2022-2025年间针对东南亚政府机构、欧洲外交实体和非政府组织发动了数十起使用PlugX变种的攻击活动。(来源: ESET, “MustangPanda’s Hodur: Old tricks, new Korplug variant”, 2022; Recorded Future, Insikt Group多篇Mustang Panda追踪报告, 2022-2025)

2023年,法国执法机构与Sekoia.io合作,通过接管一个被遗弃的PlugX C2服务器(IP地址45.142.166.112),发现该单一服务器在6个月内接收了来自170多个国家、超过250万个唯一IP地址的连接请求——这一数据直观地展示了PlugX感染的全球规模。(来源: Sekoia.io, “PlugX worm: new developments, sinkhole and technical analysis”, 2024-04-25)

PlugX长期存活的核心原因在于其模块化架构和源代码的广泛流通。PlugX的基础框架提供了稳定的远控通信和持久化能力,而其功能模块可以根据攻击目标的具体需求进行灵活配置和扩展。更重要的是,PlugX的构建工具在地下市场已经流通多年,这意味着使用PlugX的攻击者群体远不限于最初开发它的组织。它已经成为一种”基础设施级”的攻击工具——廉价、可靠、广泛可得。

从攻击者的角度看,选择PlugX而非开发全新的恶意软件是一个理性的成本收益决策:PlugX的稳定性经过了14年以上的实战验证,其C2通信协议经过多次改进以逃避检测,其持久化机制覆盖了Windows系统的多个层面。开发一个功能等价的新型RAT需要大量的时间和技术投入,而使用PlugX的定制变种可以将攻击者的精力集中在更有价值的环节——比如社会工程和初始投递。

Claude品牌:攻击者的理性选择

攻击者为什么选择Claude的品牌而非其他AI工具?这个问题的答案揭示了AI行业竞争格局的一个侧面。

第一,品牌认知度的临界点。 根据公开的行业数据,claude.ai在2025年下半年的月活跃访问量已达到相当可观的规模,在全球AI聊天机器人市场中位居前列。(来源: Similarweb公开排名数据,2025年下半年;编者注:具体数值因统计口径和时间窗口而异)一个品牌要成为有效的钓鱼载体,它的认知度必须高到目标群体中的大多数人都听说过它,但又不能高到所有人都对其分发渠道了如指掌。Claude在2025-2026年恰好处于这个”甜蜜区间”——足够知名以至于”下载Claude”这个动作在用户心智中是合理的,但又没有知名到每个用户都知道”Claude只能从claude.ai或官方应用商店获取”。

第二,用户需求的急迫性。 AI工具领域的竞争态势创造了一种独特的用户心理——”我需要尽快用上最新的AI工具,否则就会落后”。这种急迫感削弱了用户的安全判断力。当一个用户在搜索引擎中搜索”download Claude”或”Claude desktop app”时,他的心理状态是”我要尽快获取这个工具”,而非”我需要仔细验证这个下载来源的合法性”。

第三,分发渠道的模糊性。 与传统软件不同,AI工具的分发渠道正处于快速演变中。Claude有网页版、有iOS/Android应用、有桌面应用、有Claude Code命令行工具(通过npm分发),Anthropic还在不断推出新的产品形态。这种产品线的快速扩张本身就在创造认知混乱——用户很难确切知道”Claude目前到底有哪些官方分发渠道”。攻击者利用的正是这种模糊性。

Trend Micro的研究报告特别指出,攻击者”武器化了信任信号”(weaponizing trust signals),不仅利用了Claude的品牌,还利用了GitHub Release等开发者基础设施来分发恶意载荷。(来源: Trend Micro, 2026-04)这表明攻击者对目标群体——AI工具的早期采用者和开发者——的行为模式有深入的理解。

三种视角的碰撞

视角一:这只是传统钓鱼的新皮肤,不必过度解读。 持这种观点的安全从业者有充分的历史依据。品牌仿冒钓鱼是一个存在了几十年的攻击模式——从2000年代仿冒Flash Player更新,到2010年代仿冒Chrome浏览器升级,再到今天仿冒Claude。根据APWG(Anti-Phishing Working Group)的年度趋势报告,全球钓鱼攻击总量在近年来持续攀升,其中品牌仿冒类占据了显著比例。(来源: APWG, “Phishing Activity Trends Report”, 定期发布于 https://apwg.org/trendsreports/ ;编者注:2025年度完整报告的具体数据点以APWG官方发布为准)从统计角度看,AI品牌钓鱼只是这个庞大基数中的一个新增类别。

更重要的是,现代EDR(终端检测与响应)解决方案对PlugX等已知恶意软件家族的检测能力已经相当成熟。CrowdStrike在其年度全球威胁报告中持续追踪PlugX家族,指出其已知变种在行为检测层面的拦截率处于较高水平。(来源: CrowdStrike, “Global Threat Report”, 年度发布于 https://www.crowdstrike.com/global-threat-report/ )这意味着部署了企业级安全解决方案的用户,即使下载了恶意ZIP文件,也有较高概率在PlugX执行阶段被拦截。因此,这一事件对企业用户的实际危害可能被部分媒体报道放大了——但对缺乏企业级防护的个人用户和小型团队而言,风险仍然显著。

视角二:AI品牌钓鱼代表了一种质变,需要新的防御范式。 这种观点的核心论据在于目标群体和攻击面的根本性变化。传统软件钓鱼的目标群体通常是技术素养较低的普通用户,而AI工具钓鱼的目标群体包含大量开发者和技术人员——这些人本应具有更高的安全意识,但对AI工具的急切需求正在系统性地削弱他们的安全判断力。

更关键的是,AI工具的权限模型与传统软件截然不同:一个被植入PlugX的系统如果同时运行着Claude Code这样的AI编程助手,攻击者不仅能窃取用户数据,还可能通过AI工具的权限链条访问到用户的代码仓库、API密钥、云服务凭证等高价值资产。一个被入侵的开发者环境可能导致恶意代码被注入到其开发的产品中,形成真正的供应链攻击。攻击面的深度和广度都发生了根本性变化。

视角三:品牌仿冒的安全责任不应由AI公司承担,而应由执法机构、域名注册商和平台方负责。 这种观点认为,要求每家AI创业公司都建立品牌安全团队是不现实的——一家50人的AI创业公司不可能像Microsoft那样运营一个Digital Crimes Unit。品牌仿冒本质上是一种欺诈行为,应由ICANN的UDRP(统一域名争议解决政策)机制、各国执法机构的网络犯罪部门、以及Google/Bing等搜索引擎的安全过滤机制来应对。将责任推给AI公司,可能导致安全投入的错配——这些资源本应用于产品安全和模型安全。

我的判断: 视角一低估了AI品牌钓鱼的结构性风险,视角三虽然在责任分配上有合理之处,但忽略了现实中执法和平台响应的滞后性。我更倾向于视角二的判断,但需要加一个重要的限定条件:AI品牌钓鱼的威胁等级取决于目标群体的特殊性。当攻击目标是拥有代码仓库访问权限、云服务凭证和API密钥的开发者时,单次成功入侵的潜在损害远超传统品牌钓鱼。7ai的研究博客明确指出了这一点:当AI开发者工具本身成为攻击面时,受影响的不仅是单个用户,而是整个软件供应链。(来源: 7ai Blog, 2026-04)

第四章:AI品牌成为黑客的”皮囊”——行业级安全命题

品牌信任的武器化

当一家AI公司投入大量资源建设品牌——通过技术论文、产品发布、媒体报道、用户口碑——它实际上在做两件事:第一,为自己的商业目标积累品牌资产;第二,无意中为潜在的攻击者创造了一个可以被滥用的”信任载体”。

品牌信任的建设成本极高——Anthropic自2021年成立以来已累计融资超过70亿美元(来源: Crunchbase, Anthropic公司融资记录, https://www.crunchbase.com/organization/anthropic ),其中相当一部分投入在技术研发、产品迭代和安全声誉建设上。但品牌信任的滥用成本极低——攻击者只需要注册一个相似域名(成本约10美元)、复制一个网页模板、打包一个恶意ZIP文件,就可以”借用”Anthropic花费数年建立的品牌信任来分发恶意软件。

这种不对称性是品牌安全问题的核心。建设信任需要数年和数十亿美元,滥用信任只需要数小时和几十美元。 这一不对称性在AI行业尤为突出——AI品牌的信任积累速度远超传统软件品牌,但品牌安全基础设施的建设速度并未同步跟上。

AI公司的品牌安全现状

对比传统软件巨头的实践:Microsoft的Digital Crimes Unit(DCU)自2010年以来已关停大量恶意域名,并与全球多个国家的执法机构建立了合作关系。(来源: Microsoft Digital Crimes Unit, https://www.microsoft.com/en-us/corporate-responsibility/digital-safety )Adobe在其官方网站上长期维护着关于”如何识别假冒Adobe软件”的用户教育页面。Google的Safe Browsing服务保护数十亿台设备免受钓鱼攻击。(来源: Google Safe Browsing, https://safebrowsing.google.com/ )

这些传统软件巨头花了10年以上的时间才建立起相对成熟的品牌安全基础设施。而AI公司正在以远快于传统软件公司的速度积累品牌认知度——Anthropic从成立到Claude成为全球知名AI品牌,用了不到4年时间。

那么AI公司的品牌安全基础设施是否跟上了品牌认知度的增长速度?从公开信息来看,情况并不乐观。截至2026年4月,Anthropic的公开安全工作(根据其官方安全白皮书和博客)主要聚焦于模型安全(Constitutional AI、红队测试)、产品安全和基础设施安全。(编者注:以下为基于公开信息的推测性判断)Anthropic的公开招聘页面上未见与”品牌安全”、”数字犯罪”或”反仿冒”直接相关的职位,这可能意味着品牌安全尚未被纳入其公开的安全优先级体系中。相比之下,OpenAI在2025年已公开招聘”Brand Protection Analyst”岗位(来源: OpenAI Careers页面, 2025年),Google DeepMind则依托Google母公司成熟的品牌安全基础设施。

这并非对Anthropic的批评——作为一家快速成长的AI公司,将有限的安全资源优先投入模型安全和产品安全是合理的优先级排序。但这次事件清楚地表明,品牌资产安全正在成为一个不可忽视的新战线。

AI创业公司的品牌安全盲区

问题在大型AI公司身上已经足够严峻,但在更广泛的AI创业公司生态中,情况可能更糟。大多数AI创业公司没有域名监控服务,没有仿冒站点自动检测和打击流程,没有用户安全教育体系,甚至没有在官方网站上明确声明”我们的软件只能从以下渠道获取”。

品牌安全落在了组织架构的缝隙中——安全团队通常由应用安全工程师和基础设施安全工程师组成,品牌安全不在他们的职责范围内;市场营销团队虽然负责品牌管理,但通常不具备应对网络安全威胁的能力。品牌安全是一个跨职能问题,但在大多数AI公司中,没有任何一个团队对其负有明确的责任。

第五章:深层洞察——信任经济的安全悖论与影子供应链的崛起

大多数人没看到的第三层

表面上看,这是一起”假冒网站分发恶意软件”的安全事件,技术上没有任何新颖之处。深入一层,这是AI品牌信任被武器化的案例。但如果我们再深入一层,会发现一个更深刻的结构性问题:

AI行业正在经历一场”信任军备竞赛”,而攻击者是这场竞赛的免费搭便车者——更危险的是,AI公司越成功,攻击者的搭便车收益就越高。

AI公司之间的竞争,本质上是信任的竞争。用户选择Claude而非ChatGPT,或选择ChatGPT而非Claude,很大程度上取决于他们对品牌的信任。AI公司投入大量资源来建设这种信任:Anthropic发布Responsible Scaling Policy(来源: Anthropic, https://www.anthropic.com/news/anthropics-responsible-scaling-policy )、通过METR等第三方机构的红队测试、获得SOC 2 Type II认证。OpenAI建立了Safety Advisory Group,Google DeepMind发布了Frontier Safety Framework。

但这些信任建设活动的”外部性”是,它们同时提升了品牌作为钓鱼载体的价值。Anthropic越是成功地让用户相信”Claude是安全可信的”,攻击者就越容易利用”Claude”这个名字来欺骗用户。这是一个经典的”信任悖论”:品牌信任度的每一次提升,都同时增加了品牌被滥用的风险。

这个悖论在AI行业尤为尖锐,原因有三:第一,AI品牌的信任建设速度远超传统软件品牌(Claude从发布到全球知名用了不到两年),但品牌安全基础设施的建设需要更长的时间;第二,AI工具的用户群体包含大量高价值目标(开发者、研究人员),使得品牌滥用的潜在收益远高于仿冒普通消费软件;第三,AI工具的分发渠道仍在快速演变中,用户缺乏稳定的”官方渠道”心智模型,为攻击者创造了持续的机会窗口。

影子供应链攻击的新维度

这次事件还揭示了AI时代供应链攻击的一个新维度。需要明确的是,这次攻击在严格的技术定义上并非经典的供应链攻击——攻击者没有入侵Anthropic的构建系统或分发管道(如2020年SolarWinds事件中攻击者入侵Orion软件的构建管道那样)。但它代表了一种可以被称为”影子供应链攻击”的新模式——攻击者不需要入侵AI公司的任何系统,只需要创建一个可信的”影子分发渠道”,就可以向用户分发恶意软件。

这种攻击模式的可扩展性远高于传统供应链攻击。入侵SolarWinds的构建系统需要高超的技术能力和数月的耐心渗透,但注册一个仿冒域名、搭建一个钓鱼网站的门槛低得多。Trend Micro的研究特别值得关注:攻击者不仅在仿冒Claude的品牌页面,还在利用GitHub Release等开发者基础设施来分发恶意载荷。(来源: Trend Micro, 2026-04)这意味着攻击者正在构建越来越复杂的”信任链”——从品牌信任到平台信任,层层叠加。

影子供应链攻击的真正危险在于其”无需入侵”的特性。 传统供应链攻击(如SolarWinds、Codecov、3CX)都需要攻击者实际入侵目标公司的某个系统。但影子供应链攻击完全绕过了这一步——攻击者只需要在目标公司的品牌光环下建立一个平行的分发渠道。这意味着AI公司即使拥有完美的内部安全,也无法阻止攻击者利用其品牌进行影子分发。防御的重心必须从”保护自己的系统”扩展到”保护自己的品牌在外部世界的呈现方式”。

这意味着什么:4个预判

预判一:AI品牌钓鱼将在未来12-18个月内显著增长。 这一预判基于两个可观察的趋势:其一,品牌仿冒钓鱼的增长率与目标品牌的搜索量增长率历史上呈正相关关系,而主要AI品牌的搜索量在2025年经历了爆发式增长(来源: Google Trends公开数据可验证主要AI品牌搜索量的增长趋势);其二,APWG数据显示”科技品牌”类别的钓鱼攻击在近年来持续增长,AI品牌正在成为该类别中增长最快的子集。(来源: APWG, “Phishing Activity Trends Report”, https://apwg.org/trendsreports/ )我们可能会看到仿冒Cursor、Windsurf、Devin、Replit等AI开发工具的类似攻击。

预判二:AI公司将被迫建立品牌安全职能。 就像10年前大型互联网公司开始建立专门的反欺诈和品牌保护团队一样,AI公司将不得不在安全组织中增加品牌安全职能。对于资源有限的创业公司,这可能以外包形式实现——Bolster(https://bolster.ai/)、PhishLabs(Fortra旗下, https://www.phishlabs.com/)、Allure Security等品牌保护即服务(BPaaS)供应商已经开始为科技公司提供定制化的域名监控和仿冒站点打击服务。

预判三:AI工具的分发安全将成为新的行业标准议题。 我们可能会看到类似于”AI工具安全分发最佳实践”的行业指南出现,涵盖官方分发渠道声明、代码签名策略、安装包完整性验证等内容。这可能由Frontier Model Forum或OWASP等组织推动。值得注意的是,OWASP已在2025年发布了”LLM AI Security Top 10”(来源: OWASP, https://owasp.org/www-project-top-10-for-large-language-model-applications/ ),但尚未涵盖品牌仿冒和分发安全议题——这一空白本身就说明了行业对这一风险的认知滞后。

预判四:搜索引擎和应用商店将面临更大的AI品牌钓鱼过滤压力。 当用户搜索”download Claude”时,搜索引擎的结果排序直接影响用户是否会接触到仿冒站点。Google在近年来已加强了对搜索广告中仿冒品牌的审核(此前Malwarebytes多次报告过通过Google Ads分发恶意软件的案例),但自然搜索结果中的仿冒站点仍然是一个未充分解决的问题。

第六章:防御建议——从企业到个人的分层行动指南

对AI公司的建议

  1. 建立域名监控体系。 持续监控与品牌名称相似的域名注册活动,对高风险仿冒域名及时发起打击(UDRP域名争议解决程序或法律手段)。Bolster、DomainTools(https://www.domaintools.com/)等服务可提供自动化监控。
  2. 明确声明官方分发渠道。 在官方网站的显著位置列出所有合法的软件获取渠道,并定期更新。这一点看似简单,但截至2026年4月,多家主流AI公司的官网上仍缺乏清晰的”官方下载渠道声明”页面。
  3. 在模型输出中嵌入官方渠道提示。 这是AI公司独有的防御手段——当用户向Claude询问”如何下载Claude”或”Claude桌面版在哪里下载”时,模型应给出明确的官方链接和安全提示。这种”自我防御”机制是传统软件公司不具备的。
  4. 实施代码签名和安装包验证。 为所有官方分发的软件提供可验证的数字签名和校验值(SHA-256哈希),并教育用户如何验证。
  5. 建立品牌滥用快速响应流程。 当发现仿冒站点时,能够在数小时内启动打击流程,包括联系域名注册商、托管服务商、搜索引擎等。
  6. 推动建立AI工具统一可信分发注册表。 类似于Python的PyPI或JavaScript的npm,AI行业可以探索建立一个经过验证的AI工具分发注册表,用户可以通过该注册表验证某个AI工具的官方分发渠道。

对用户和开发者的建议

  1. 只从官方渠道获取AI工具。 直接输入官方网址(如claude.ai、anthropic.com),而非通过搜索引擎或第三方链接。将常用AI工具的官方网址加入浏览器书签。
  2. 对”AI工具安装程序”保持高度警惕。 如果一个AI工具主要通过网页或API提供服务,那么”下载安装程序”这个动作本身就应该触发警觉。
  3. 验证下载文件的数字签名和哈希值。 在运行任何下载的可执行文件之前,检查其数字签名是否来自预期的发布者。
  4. 保持终端安全软件的更新。 虽然DLL侧载可以绕过部分检测,但现代EDR解决方案对PlugX等已知恶意软件的行为特征有较好的检测能力。CrowdStrike、SentinelOne、Microsoft Defender for Endpoint等产品均已更新了针对此次攻击变种的检测规则。(据报道)
  5. 对ZIP文件中包含.exe和.dll的组合保持警惕。 这种文件组合是DLL侧载攻击的典型特征。

对安全厂商的建议

SOC Prime的报告指出,安全团队可以利用已知的PlugX行为特征和DLL侧载模式来构建检测规则。(来源: SOC Prime, 2026-04)关键的检测点包括:

  • 监控合法签名程序从非标准路径(如用户下载目录、临时文件夹)加载DLL的行为
  • 检测ZIP文件中同时包含签名.exe和未签名.dll的模式
  • 对PlugX已知的C2通信模式(包括其特征性的HTTP头部和自定义协议)进行网络层检测
  • 监控用户从注册时间不足30天的域名下载可执行文件的行为

结语:信任是AI时代最稀缺的资源,也是最脆弱的攻击面

一个存在超过14年的远控木马,搭配一个成立不到5年的AI品牌,构成了2026年一起典型的社会工程攻击。技术上毫无新意,但战略上意义深远。

这次事件告诉我们的不是”PlugX又出现了”或”又有人搞钓鱼了”,而是:AI品牌的信任度已经成为一种可以被武器化的战略资产,而AI行业对这一风险的认知和防御准备严重不足。

用户对AI品牌的信任正在被武器化。这种信任的建设成本由AI公司承担——需要数年的技术积累、数十亿美元的投入、无数次产品迭代。但这种信任的破坏成本极低——一个域名、一个ZIP文件、一个14年前的木马,就足以将品牌信任转化为攻击武器。

AI公司需要认识到,它们的安全责任边界已经不可逆转地扩展了。产品安全、模型安全、数据安全仍然是基础,但品牌资产的安全防护正在成为同等重要的新战线。忽视这一战线的AI公司,不仅在将自己的用户置于风险之中,也在为整个AI行业的信任基础埋下隐患。

对于每一个AI工具的用户——无论你是开发者、研究人员还是普通用户——请记住一条简单但关键的原则:你对一个AI品牌的信任,不应该自动延伸到你在互联网上遇到的任何声称代表该品牌的网站、下载链接或安装程序。 信任品牌,但验证渠道。

在AI时代,信任是最稀缺的资源。也正因为如此,它是最值得保护的——无论是对AI公司,还是对每一个用户。

参考资料

  1. Fake Claude site installs malware that gives attackers access to your computer — Malwarebytes, 2026-04-18
  2. Fake Claude Website Distributes PlugX RAT — SecurityWeek, 2026-04-17
  3. Fake Claude website distributes PlugX RAT via DLL sideloading — SC Magazine, 2026-04-17
  4. Website poses as Anthropic’s Claude, delivers malware — CyberNews, 2026-04-17
  5. Weaponizing Trust Signals: Claude Code Lures and GitHub Release Payloads — Trend Micro, 2026-04
  6. When Trusted Tools Become the Attack Surface: Weaponizing AI Developer Tooling Against the Security Community — 7ai, 2026-04
  7. Fake Claude Site Delivers PlugX via Trojanized ZIP — SOC Prime, 2026-04
  8. Fake Claude AI installer abuses DLL sideloading to deploy PlugX — Security Affairs, 2026-04
  9. Fake Claude Site Delivers PlugX Malware to Users — Ampcus Cyber, 2026-04
  10. PlugX worm: new developments, sinkhole and technical analysis — Sekoia.io, 2024-04-25(编者注:该报告详细记录了PlugX僵尸网络接管行动,包括2.5M+唯一IP的sinkhole数据)
  11. CrowdStrike Global Threat Report — 来源: CrowdStrike, 年度发布, https://www.crowdstrike.com/global-threat-report/ (编者注:PlugX家族检测能力相关数据引用自该系列报告)
  12. APWG Phishing Activity Trends Report — 来源: Anti-Phishing Working Group (APWG), 定期发布, https://apwg.org/trendsreports/
  13. Anthropic Responsible Scaling Policy — 来源: Anthropic, https://www.anthropic.com/news/anthropics-responsible-scaling-policy
  14. Anthropic融资记录 — 来源: Crunchbase, https://www.crunchbase.com/organization/anthropic
  15. OWASP Top 10 for LLM Applications — 来源: OWASP, https://owasp.org/www-project-top-10-for-large-language-model-applications/
  16. Google Safe Browsing — 来源: Google, https://safebrowsing.google.com/
  17. ESET, “MustangPanda’s Hodur: Old tricks, new Korplug variant” — 来源: ESET Research, 2022(编者注:Mustang Panda使用PlugX/Korplug变种的技术分析)