简介 

    网络安全公司SquareX发布重要研究报告，揭露一种新型AI侧边栏欺骗攻击。攻击者通过恶意浏览器扩展程序伪装成主流AI助手界面，诱导用户输入敏感信息，从而实施窃密行为，对主流浏览器用户构成严重威胁。

核心详情 

    该攻击的技术原理在于恶意扩展程序高度模仿了如ChatGPT、Claude等主流AI工具的侧边栏界面设计，包括图标、布局和交互逻辑，以达到以假乱真的效果。当用户误以为是官方AI服务而输入个人账号、密码、私密对话或商业机密时，这些信息会被直接发送至攻击者控制的服务器。SquareX的研究表明，此类扩展通常通过第三方应用商店或钓鱼链接传播，利用用户对AI工具的信任心理，且由于浏览器扩展权限较高，能够绕过部分安全检测机制。攻击不仅涉及数据窃取，还可能被用于会话劫持或进一步的网络渗透，影响范围广泛。

适用范围  

    该安全威胁主要适用于日常使用Chrome、Edge、Firefox等主流浏览器并安装第三方扩展程序的个人用户与企业员工，特别是在工作中频繁使用AI工具进行内容创作、代码编写或数据处理的高风险人群，以及在公共或不受信任网络环境下操作设备的用户。

推荐措施 

    1、定期审查并管理浏览器已安装的扩展程序，仅从官方商店下载且关注权限请求，及时删除不必要或可疑的扩展；2、提高安全意识，不轻信非官方渠道的AI工具推广，对侧边栏弹窗请求敏感信息保持警惕，并考虑使用安全软件进行实时防护与扫描。