当大模型把一句听起来不可能实现的恶意设想,翻译成真实浏览器 API 的调用链时,传统的"只有安装了恶意软件才算被攻击"的判断标准就开始失效了。AI 辅助恶意代码开发让攻击者更容易做到他们"本来不知道怎么做的事"。
要理解"浏览器原生勒索"为什么值得警惕,有必要先拉远视角,回顾勒索软件在过去三十余年间走过的演化路径。每一次技术跃迁,都伴随着攻击门槛的降低和影响范围的扩大。

勒索软件已从早期的文件隐藏演变为如今复杂的加密与数据窃取,成为全球性的网络安全威胁。当前,勒索攻击呈现出多重勒索、无加密攻击等新趋势,目标日益广泛,赎金屡创新高。随着AI技术的发展,勒索软件将更加智能化,大语言模型辅助使得恶意代码和恶意软件框架的编写门槛一再降低,也可能诞生一些不一样的勒索方式。
特殊的恶意样本:AI 不是只会"照抄",还会"搭桥"
某研究机构在过去一年公开遥测中收集到的近 3,000 个恶意样本文件里,注意到了一个SHA256为
07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5
的样本。这个样本是一个 Python Flask 应用,前端伪装成 Discord 头像 AI 放大工具,并自称为InfernoGrabber v9.0。
它像极了一份"购物清单式"的恶意代码:键盘记录、剪贴板监控、网络请求拦截、Discord Token 窃取、加密货币钱包扫描、地理位置获取、摄像头和麦克风调用、桌面截图、本地文件访问、Chrome 漏洞利用stub、持久化机制、勒索信弹窗……几乎把传统原生木马的功能都列了一遍。
但几乎每一项都撞上了浏览器安全模型的边界:
它更像是大模型在回应一个过于宽泛的 prompt 时,把原生恶意软件的能力清单强行"翻译"成网页代码后产生的幻觉产物:什么都想实现,却什么都没能在浏览器沙箱里真正跑通。可就在这一堆不成熟的代码里,唯一的例外是文件访问工作流程,其中生成的代码使用了具有实际滥用潜力的浏览器原语。样本中的 JavaScript 调用了这样一组API:
showOpenFilePicker();
showDirectoryPicker();
随后递归遍历用户选中的目录,读取文件内容,发送到 Flask 后端,并在交互完成后显示勒索信式的警告。这就是File System Access API——Chromium 系浏览器正式支持的合法 Web 能力。
这才是最值得注意的地方:AI在这里扮演的不是漏洞发现者,而是攻击知识的搭桥者:它把一个听起来像天方夜谭的需求——"做一个不用安装、不用漏洞、能加密本地文件的网页"——与浏览器厂商已经提供但长期被认为"不现实"的合法能力连接了起来。
File System Access API:被低估的"合法武器"
文件系统访问 API(File System Access API)的设计初衷很明确:让网页版编辑器、在线 IDE、图像处理工具能够像本地应用一样读写用户文件。它不是一个秘密后门,而是一项正式标准,在 Chrome 86 就已登陆桌面端,Chrome 132 又将其扩展到了 Android 和 WebView。
它的权限模型看起来也很克制:网页不能偷偷访问硬盘,必须调用文件选择器,由用户主动选择一个文件或文件夹,并在浏览器提示中点击"允许"。授权之后,网页才能在该范围内读取、写入、删除和枚举文件。但"用户授权"这件事本身就是最薄弱的环节。普通用户面对浏览器弹出的文件夹访问提示时,很难区分合理请求和恶意请求。提示内容通常只是:
"该网站将可以编辑此文件夹中的文件。"
当你正在使用一个"AI照片增强"网页,它让你选择保存处理结果的文件夹时,这个请求看起来非常自然。你点下"允许"的瞬间,网页就获得了对相册目录的读写权限——不需要下载
任何程序,不需要安装APK,不需要利用浏览器漏洞,也不需要 root 权限。
值得注意的是,Chromium 其实对一部分敏感路径做了限制,包括用户主目录、Desktop、Documents、Downloads、Chrome 数据目录、Program Files、AppData 以及多个 Linux/Android 系统路径。但在测试的 Android 和 Windows 上,Pictures 和 Videos 目录的根目录并没有被限制。而 Chrome 148 在 Android 上甚至允许直接选择DCIM文件夹作为授权对象。
下面是在 Android 上复现的完整链路:
- 选择一张想处理的照片,页面诱导用户选择"输出文件夹";
- 页面在"处理中"的几秒内,遍历并加密目录下的图片;

目前 Firefox 和 Safari(包括 iOS 上的 Chrome,因其使用 WebKit 内核)并不暴露同样的文件选择器方法,因此攻击面暂时集中在 Chromium 生态。但这也足以覆盖大量桌面用户和绝大多数 Android 用户。
从"幻觉框架"到可用PoC:AI 改变了恶意实验的成本曲线
File System Access API 的滥用风险并不是今天才被提到的。2023 年的 USENIX Security 论文RoB: Ransomware over Modern Web Browsers已经专门讨论过。但之前大家普遍认为,这种攻击在真实世界里"不够现实":攻击者需要懂浏览器 API、需要设计社会工程链路、需要绕过端点检测对浏览器行为的信任。
AI 的出现改变了这个等式:
传统攻击创新 |
AI 辅助后的攻击创新 |
需要攻击者长期研究平台特性 |
自然语言描述目标即可 |
需要把多个技术点手动拼接 |
模型自动寻找合法 API 与恶意目标的映射 |
生成的样本往往有固定家族特征 |
每个样本都可能是"一次性定制" |
需要人类经验判断可行性 |
模型在"幻觉"中也能意外锚定真实攻击面 |
更微妙的是,某LLM在这次测试里展现出了"边拒绝边生成"的弹性:直接要"勒索软件"会被拒,但换一种中性描述——"一个请求用户授权访问本地文件、在浏览器内处理文件、并让用户无法恢复原始内容的网页"——就能拿到可用代码。甚至在 Expert 模式下,模型一边把结果描述为"精心陷阱",一边继续输出完整代码。
而且真正发生变化的不是"AI会不会写木马",而是恶意实验的成本曲线被压低了。过去需要开发者、购买构建器或具备平台知识的任务,现在可以通过自然语言描述、反复迭代 prompt 来低成本完成。这说明未来的安全对抗可能不再只是"封堵已知恶意家族",而是要应对大量由 AI 快速拼接出的、没有固定签名的一次性攻击。
结语
File System Access API 本身是一个有用的 Web 能力。AI 图像增强、在线代码编辑器、云端设计工具都需要它。但当 AI 把这个合法能力与精心构造的社会工程场景拼接在一起时,就出现了一条无需安装、无需漏洞、跨平台的勒索软件投递管道。AI 的价值在于,降低了开发的成本,从而缩短攻击链的构建周期。过去需要经验丰富的红队才能想清楚的跨域攻击链,现在可能只需要一段措辞巧妙的 prompt。
需要强调的是,目前公开研究还没有大规模野外利用这一技术的报道。原始恶意样本本身也不完整,无法稳定实现完整攻击。但"尚未发生"不等于"不会发生"。安全领域一个反复出现的规律是:只要存在一条从社会工程到高价值数据的低摩擦路径,攻击者迟早会走到那一步。
对于个人用户,"下次浏览器问你"是否允许此网站访问文件夹"时,不妨停下来想一想。这个网站可信吗?选中的文件夹对吗?它真的需要修改整个文件夹吗?
对于企业和安全从业者,这件事的意义则更深一层:浏览器不再只是上网工具,它正在成为连接云端服务、本地文件和生产数据的枢纽。如果我们继续用"有没有安装恶意软件"来判断一次攻击是否发生,就会漏掉越来越多像浏览器原生勒索这样"看不见二进制"的新型威胁。AI 让攻击者更容易做到他们"本来不知道怎么做的事"。防御者也需要用同样的思维方式升级自己的安全假设。
参考:https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/