60%的开发者不会对下载的脚本进行源码审查,这一习惯直接给攻击者敞开了入侵的大门。网络安全公司Jamf近期发出警报,一款名叫GhostClaw的恶意软件正在利用AI辅助开发的便利性,通过伪装成GitHub上的SDK或工具链侵入macOS系统。攻击者在伪造的开发环境中预埋了脚本,等用户通过自动化流程安装后就会悄无声息地部署。GhostClaw为了欺骗用户,使用了macOS的原生界面风格和系统组件来做输入验证,普通用户根本看不出它是伪造的。更让人不安的是,它的所有窃取行为都是在用户主动授予的权限范围内进行的,这让传统的安全软件难以察觉。Jamf的研究显示,60%的开发者不会对下载的脚本进行源码审查,这一习惯直接给攻击者敞开了入侵的大门。当开发者执行"curl | sh"这类命令时,实际上是把远程脚本直接导入了系统。这种为了追求效率而忽略安全的做法,正是GhostClaw这类恶意软件能够得逞的主要原因。安全团队建议企业部署终端行为分析系统来监控异常的系统调用,同时要求开发者建立脚本白名单和进行完整性校验。苹果官方表示现有机制能防住已知威胁,但也指出权限管理的核心在于用户是否谨慎点击允许按钮。这场攻防战的本质,其实就是便利性与安全性之间的博弈。