一场伪装成“合法服务”的网络攻击
在网络安全的世界里,攻击者总能找到出人意料的新路径。最近,微软安全研究团队(DART)揭露了一种令人震惊的新型攻击手法——黑客正在利用 OpenAI 的 Assistants API,将原本用于提升生产力的人工智能服务,变成了一条“隐形”的指挥与控制(C2)通道。
这款名为 SesameOp 的恶意软件,标志着网络攻击进入了一个更加狡猾的时代:它不再依赖传统的恶意服务器,而是藏身于公众信任的云平台之中,悄然执行指令、窃取数据,几乎不留痕迹。
SesameOp 是如何运作的?
SesameOp 首次被发现是在2025年7月的一系列网络攻击中。它的核心策略极具迷惑性:通过 OpenAI 的 Assistants API 来传递加密指令和回传敏感信息。
具体来说,攻击者会将恶意命令压缩并加密后,发送到他们控制的 OpenAI 助手账户。一旦受害设备被感染,恶意软件就会定期“查询”这个助手,获取指令,解密后执行——无论是下载更多载荷、横向移动,还是窃取文件,都能悄无声息地完成。而窃取的数据,则会经过同样加密流程,通过同一API通道悄悄传回。
这种设计让整个通信链看起来就像正常的AI服务调用,完美地混迹于合法流量之中,极大增加了检测难度。
技术细节:层层伪装,只为长期潜伏
从技术实现上看,SesameOp 并非简单的脚本病毒,而是一个结构复杂的后门程序:
- 它包含一个名为 Netapi64.dll 的加载器,负责初始植入。
- 核心后门使用 .NET 编写,并采用 AES 和 RSA 双重加密机制保护通信内容。
- 所有传输数据均经过 GZIP 压缩,进一步降低被识别的风险。
- 更为高明的是,它利用了 .NET AppDomainManager 注入技术,通过劫持正常 .NET 应用的加载流程来运行恶意代码,从而实现持久化驻留,且难以被常规杀毒软件捕捉。
这些手段共同构成了一个高度隐蔽、抗检测的远程控制后门。
不是漏洞,而是“滥用”——OpenAI 无辜?
值得注意的是,微软明确指出:此次攻击并未利用 OpenAI 平台的技术漏洞。相反,攻击者只是“合法”地使用了 Assistants API 的功能,比如消息存储、上下文对话等,将其当作一个中继站。
这正是问题的棘手之处:攻击者没有“破门而入”,而是拿着通行证走进了大楼。由于所有通信都通过官方API进行,且使用了标准HTTPS协议,传统防火墙和网络监控工具很难将其与正常AI调用区分开来。
发现威胁后,微软迅速与 OpenAI 协作,封禁了相关账户及API密钥,切断了当前的攻击链。同时,微软宣布将在 2026年8月正式弃用 Assistants API,以消除其被滥用的风险。
企业该如何应对?
面对这种“披着羊皮的狼”式攻击,微软向企业安全团队提出了多项关键建议:
- 严格审计防火墙日志,重点关注对 OpenAI 等第三方API的异常调用。
- 监控未经授权的外部连接,尤其是来自内部系统对AI服务平台的频繁请求。
- 启用设备篡改防护功能,防止关键系统文件被恶意替换。
- 将终端检测与响应(EDR)系统设置为拦截模式,主动阻止可疑行为,而非仅仅告警。
更重要的是,企业需要重新审视对第三方云服务的访问策略,尤其是涉及AI API的调用权限管理,避免“便利性”成为安全链条中最薄弱的一环。
结语:AI 双刃剑的时代已经到来
SesameOp 的出现,提醒我们一个现实:人工智能技术的进步,正在被攻击者同步“创新”利用。当AI助手成为黑客的“共谋”,网络安全的边界将变得更加模糊。
未来的攻防战,不仅要比拼技术深度,更要考验对“合法服务滥用”的洞察力。在这场无声的较量中,警惕与主动防御,才是企业最坚实的护盾。