AI 助手風險加劇,資安研究團隊 0DIN 指出,一種新型攻擊可利用 AI 工具在遇錯誤時,自行向網路查詢並下載惡意指令,從而在不改動本機檔案的情況下取得系統控制權。
AI 助手風險:掃描無毒仍會中招
0DIN 在示範過程中,先提供一個表面「乾淨」的 GitHub Repository,該專案本身沒有任何惡意程式碼或可被傳統掃描器偵測的檔案。
░ 掃描無毒一樣中招
真正的陷阱藏在安裝指示與錯誤訊息內,當使用者或開發工具要求協助時,0DIN示範的流程會誘導 AI 助手去解析外部設定,並依照回傳內容執行下一步動作。
攻擊者並不把惡意程式放在本機,取而代之的是利用 DNS TXT 等遠端設定來下達指令,當 AI 工具按照指示去讀取這些紀錄時,惡意指令才會被下載並立即執行。
░ 任何 AI 助手都有風險
本次示範以 Claude Code 為例,但研究指出,任何允許自動讀取程式碼、安裝軟體或處理錯誤的自動化工具,都可能成為攻擊目標。
像是 Codex、Gemini CLI、Cursor 等市面常見工具,只要授權 AI 執行系統指令與網路請求,就存在同樣的安全風險。
░ 睇實權限才是自保關鍵
專家提醒,問題的核心不是 AI 會「答錯」,而是 AI 取得代替用戶執行動作的權限後,會在背景自動下載並執行遠端指令。
由於攻擊流程透過像是 DNS TXT 紀錄 這類網路機制下發指令,傳統檔案掃描器無法提前偵測,傳統防毒軟體對此類「運行時」下發的惡意指令效果有限。
因此,對開發者與產品設計者而言,最重要的是嚴格控管 AI 的權限,避免授予自動執行高風險操作的能力。
具體做法包括在執行下載、網路請求或存取敏感檔案前,實施強制彈出提示,讓用戶清楚看到風險並親自批准,才能降低被暗中操控的可能。
0DIN 的研究尚未顯示有大規模被害案例,但已為開發社群敲響警鐘,業界應儘速在工具層與權限管理上做出改進,才能在 AI 自動化普及下守護系統安全。

