一台好好的電腦,突然死機了
一個叫 Callum McMahon 的軟體開發者,那天只是在自己電腦上用 AI 工具寫程式。他沒有去任何可疑網站,沒有點開奇怪的郵件,什麼都沒做——只是讓 AI 幫他安裝了一個外掛插件。
然後他的電腦記憶體爆掉了。畫面凍住,風扇狂轉,整台機器直接當機。
很快地,他發現問題出在一個叫 LiteLLM 的工具上。這個工具他甚至根本沒有主動安裝——它是他安裝的插件背後,偷偷一起拉進來的「附帶品」。而這個版本,被人動了手腳。
台灣也有用戶中招,留下了這段文字:
「昨天裝了 browser-use,上午裝的,一打開就有無數 python 進程啟動,電腦卡死。claude 一啟動就自動加載 mcp,就會啟動無限個 python。」
這位用戶同樣沒有主動安裝問題套件——它藏在 browser-use 的子依賴裡。
他們到底做了什麼壞事?
先說好消息:這次攻擊的惡意程式寫得太粗糙,才被這麼快發現。電腦瘋狂耗用記憶體、無數程序同時跑——這些異常讓受害者察覺不對勁。
但如果攻擊者更謹慎一點呢?
這支惡意程式的設計目標,是安靜地把你電腦上所有重要的「鑰匙」全部偷走,然後傳送到攻擊者的伺服器。這些「鑰匙」包括:
而且最可怕的部分還不是「偷很多東西」——而是這次攻擊還設計了後門:就算你事後發現、刪掉惡意程式,攻擊者的控制程式還是悄悄留在你的系統裡,繼續等待下一步指令。
攻擊者沒有破門而入。
他們是透過你信任的工具,拿到了你親手遞出去的鑰匙。
這跟我以前認識的資安威脅完全不一樣
過去我們被教導的資安常識是:不要點奇怪連結、不要下載來路不明的程式、不要在可疑網站輸入密碼。這些規則現在依然有效,但它們保護不了你面對這種攻擊。
因為這次的受害者,什麼都沒做錯。
為什麼 AI 工具讓這件事更危險
過去當我們安裝一個程式,我們至少還會看一眼「需要安裝哪些附帶軟體」。我們有機會說不。
但現在的 AI 工具——包括 Cursor、Claude Code 這些「幫你寫程式的 AI」——它們工作的方式是:你說一句話,它就自動幫你下載、安裝所有需要的東西。沒有詢問,沒有清單,就這樣靜悄悄地完成了。
AI 自動安裝依賴——你說「幫我加這個功能」,背後可能觸發了十幾個套件的自動安裝,沒有人工審查,你甚至不知道發生了什麼。
套件版本沒有鎖定——很多工具的設定是「只要是更新的版本都可以」。這讓攻擊者只要發布一個稍高的版本號,就能自動滲透進來。
AI 有時會「幻想」套件名稱——AI 助手偶爾會推薦一個其實不存在的工具名稱。攻擊者預先在那些名字下面埋好惡意程式,等著你照著 AI 的建議去安裝。
這三件事疊在一起,意味著:安裝軟體這件事,已經從「我決定要裝什麼」變成了「AI 決定、自動執行、我完全不知道」。
那我們該怎麼辦?
這不是要你停止使用 AI 工具。AI 工具真的很有用,而且這個方向擋也擋不住。但就像開車一樣——汽車讓我們移動得更快,但我們還是學了繫安全帶、停紅燈、注意路況。
對於一般人,以下幾件事有實質幫助:
重要密碼不要存在電腦上的文字檔裡。使用密碼管理器(如 1Password、Bitwarden)統一管理,它們有更強的保護機制。
雲端帳號開啟雙重驗證。就算密碼被偷,還有第二道關卡。這是目前最有效的保護之一。
定期檢查你的帳號有沒有異常登入。Google、AWS 都有登入記錄,養成偶爾看一眼的習慣。
如果電腦突然很卡、風扇狂轉、記憶體爆掉——不要只是重開機就算了,那可能是一個重要的警訊。
對開發者:AI 工具的 Python 環境最好跟其他工作環境分開。工具越強大,它在被攻擊時造成的損害也越大。
這次的攻擊在兩天內被發現、修復,沒有變成更大的災難,算是不幸中的萬幸。但它揭示了一件事:當我們把越來越多的決定交給 AI 自動執行,我們也在不知不覺中,把越來越多的信任交了出去。
科技讓我們做事更快,但不會幫我們決定什麼東西值得信任。這件事,還是得由我們自己來。