新手误点Google赞助链接中招，伪Claude官网窃取权限

背景

随着生成式 AI 技术的爆发，Claude Code（简称 CC）等基于大型语言模型的编程助手迅速成为开发者社区的热议焦点。对于许多刚接触 AI 编程工具的新手而言，从传统的 ChatGPT Codex 转向 Claude Code 是一个常见的学习路径。然而，这种技术迭代也带来了新的安全风险。

本文源于一位 Linux DO 社区用户的亲身经历。该用户在使用完 GPT 的 Codex 额度后，试图通过公益站点学习如何使用 Claude Code。在通过 Google 搜索安装资源时，因缺乏警惕性，点击了带有“赞助商链接”标识的首个搜索结果。该网站伪装成官方域名，诱导用户执行了一段看似正常的终端安装命令，从而引发了一场险些导致系统被控的网络安全事件。

核心内容

事件起因于用户对 AI 工具安装流程的轻信。用户在 Google 搜索 “Claudecode” 时，未仔细甄别搜索结果，直接点击了标注为赞助商链接的第一个结果。该钓鱼网站使用了极具迷惑性的域名结构，显示为 Claude.ai 域名后接 share 后缀，给用户造成了官方页面的错觉。

用户按照网站提供的指令，将一段代码复制并粘贴到 macOS 终端中执行。起初，终端要求输入电脑密码，用户认为这是正常的权限验证流程并予以输入。随后，程序继续索要更多权限，用户虽感到不安并全部拒绝，但已执行的部分操作引发了严重的安全隐患。

意识到异常后，用户向 GPT 求助。GPT 对提供的截图和命令进行了深入分析，指出了多个致命的异常点，证实这是一次精心设计的钓鱼攻击：

1. 页面伪装：页面标题为 “Claude Code on Mac in Minutes”，看似官方教程，但实际并非 Anthropic 官方发布。
2. 代码混淆：安装命令中使用了 base64 编码来隐藏真实的恶意地址。
3. 恶意域名：解码后的最终请求指向 newjerseypetsitter.com（一家宠物保姆网站），这与 AI 软件安装毫无关联。真正的 Anthropic 官方域名应为 anthropic.com 或 claude.ai。
4. 违规安装方式：官方文档通常提供明确的下载地址、HTTPS 加密连接，或通过 GitHub、npm、brew 等标准包管理器进行安装。而该恶意命令采用了 curl | zsh 的方式直接从陌生域名下载并执行脚本，且故意使用 base64 混淆，这是典型的恶意脚本特征。

由于用户在执行过程中输入了 macOS 密码，系统权限风险显著升高。最终，用户不得不采取断网并恢复系统作为应对措施。

关键要点

• 警惕搜索引擎广告：即使是 Google 搜索结果，带有“赞助商链接”标识的结果也可能包含恶意内容。用户应像对待百度广告一样，对任何搜索结果保持审慎态度，不盲目点击首位结果。
• 识别域名陷阱：钓鱼网站常利用相似域名（如 Claude.ai 变体）进行伪装。用户需仔细核对完整域名，确认是否为官方域名（如 anthropic.com）。
• 警惕隐蔽的命令执行：
  • 真正的官方安装不会使用 base64 混淆代码来隐藏真实地址。
  • 真正的官方安装不会通过 curl | zsh 或 curl | bash 直接从非官方或不明域名下载并执行脚本。
  • 官方安装通常提供清晰的 GitHub、npm 或 brew 安装指引。
• 密码泄露的高风险：如果在执行可疑命令时输入了系统密码，意味着攻击者可能已获得提权或执行恶意代码的权限，风险极高。
• 异常行为直觉：当终端出现非预期的权限请求或行为逻辑不符（如 AI 软件安装涉及宠物网站域名）时，应立即停止操作并寻求专业验证。

意义与影响

此事件为 AI 工具用户敲响了警钟，揭示了在享受技术便利的同时所面临的新型网络威胁。

1. 安全意识缺口：许多 AI 新手用户可能具备较强的编程能力，但在网络安全基础防护（如域名验证、脚本来源审查）方面存在盲区。他们往往对“官方”、“赞助商”等标签缺乏足够的批判性思维。
2. 钓鱼攻击的进化：传统的钓鱼邮件已逐渐演变为针对特定技术栈和热门工具的精准攻击。攻击者利用热门 AI 工具（如 Claude Code）的知名度，结合搜索引擎广告位，构建了高仿真的钓鱼页面，极大地提高了欺骗性。
3. 社区教育的重要性：此类事件在 Linux DO 等开发者社区内的分享，具有极高的教育价值。它提醒社区成员，在推广 AI 工具使用的同时，必须同步普及网络安全知识，特别是关于如何验证软件来源、如何识别恶意脚本等实操技能。
4. 应对策略：用户应养成在执行任何从网络获取的脚本前，先查看代码内容、验证域名、使用沙箱环境测试的习惯。一旦怀疑遭遇攻击，应立即断网、保留证据并重置系统凭证，以最小化损失。