当开发者习惯性地在搜索引擎里输入"Claude Code安装教程"或"AI编程工具下载"时，很少有人会料到，排在前几位的广告链接背后，藏着一场针对高信任平台的精密围猎。攻击者正在抛弃过去那些粗糙的钓鱼页面，转而把恶意指令嵌入Claude.ai的共享聊天里——借助你每天都在用的AI服务，完成一场近乎完美的"信任劫持"。

TrendAI Research追踪到的数据显示，这波攻势在短短七周内滚动了六轮，幕后团队像切换舞台布景一样轮换着106个不同的恶意主机名。他们不是在盲目撒网，而是在持续测试哪种AI主题的诱饵最容易让人放下戒心。从早期的GitLab Pages到现在的Claude.ai，攻击者明显换了一套打法：过去还得自己租服务器、搭可疑域名，如今直接"拎包入住"主流平台，把恶意内容托管在.gitlab.io和claude.ai这种用户天然信任的域名之下。

这种转变的可怕之处显而易见。浏览器地址栏里的绿锁、安全浏览器的白名单、企业防火墙的域名信誉库——这些原本用来保护用户的层层过滤，在合法平台面前几乎集体失效。受害者点击的链接，打开的确实是如假包换的Claude.ai共享聊天页面，没有弹窗警告，也没有拦截提示。

ClickFix攻击的核心逻辑，说到底就是一场精心设计的"自己动手"骗局。它不依赖漏洞利用，也不偷偷摸摸下载文件，而是堂而皇之地诱导你手动复制、粘贴一段命令到终端或PowerShell里。很多受害者看到页面上的"技术支持"对话框，一步步教自己"修复软件问题"，便不假思索地照做了。由于整个执行过程是用户主动发起的，传统端点防护和行为监控往往只能眼睁睁看着恶意代码运行，因为系统记录下来的，只是一个合法用户在合法操作自己的电脑。

到了2026年5月，这场战役迎来了一次关键升级。攻击者开始大规模滥用Claude.ai的共享聊天功能，把恶意广告的重定向目标从临时搭建的GitLab子域名，切换到了正儿八经的claude.ai/chat/...链接。共享聊天本是为了方便开发者分享对话上下文，如今却被改造成了冒充苹果官方客服或技术团队的"官方支持窗口"。页面里，一段段看似专业的对话引导你打开终端，执行一段base64编码的脚本。解码之后，真正的第二阶段载荷才会从远程服务器拉取下来。

被释放到受害者设备上的，是一款名为MacSync的信息窃取型恶意软件。它专门针对macOS系统，像吸尘器一样扫荡浏览器里保存的账号密码、Cookie会话、SSH密钥，甚至连加密货币钱包的私钥也不放过。所有数据被压缩打包后，悄无声息地传回攻击者控制的服务器。有意思的是，这款恶意软件内部还藏了一个"地域黑名单"——它会检查系统是否使用俄语键盘布局，一旦发现，便自动停止活动。这种设计显然是为了避开独联体地区的设备，减少被当地执法机构追查的风险。

从地理分布来看，这波攻击的火力高度集中在亚太地区，该区域贡献了超过六成的受害流量。台湾单独就扛下了三成以上的观测访问量，紧随其后的是日本和新加坡。后续几轮广告投放里，印度、法国、意大利也逐渐被纳入目标清单，说明攻击者一直在根据转化数据微调他们的地理定向策略，哪里的人容易上当，预算就往哪里倾斜。

TrendAI的研究人员统计，早期阶段至少发现了45个恶意Claude.ai共享聊天实例，而后期这个数字膨胀到了60个以上。平台运营方Anthropic在接到披露后，确实采取了行动：封禁涉事的恶意账号、删除有害的共享聊天链接，并追加了一层防护机制来限制功能滥用。但安全社区普遍担心，这不过是打地鼠游戏的开始。当AI工具越来越深地嵌入开发者的工作流，攻击者利用合法平台作为"防弹衣"的趋势只会愈演愈烈。一个共享聊天页面，比十个精心伪造的钓鱼网站更具说服力，也更难被自动化系统识别。

对于普通用户和企业来说，防御这类攻击没有一劳永逸的技术银弹。最实际的防线，仍然是培养一种"看到命令就警觉"的肌肉记忆。不管是安装软件还是排查故障，但凡网页让你打开终端、复制粘贴一段看不懂的代码，都应该立刻停下来核实来源。企业安全团队则需要把异常命令执行纳入重点监控范围，同时在终端层面部署能够识别脚本解码和可疑外联行为的检测方案。毕竟，当攻击者已经学会用你的信任平台来对付你，唯一能依靠的，就只有你自己在按下回车键之前的那一丝犹豫。