AI变双刃剑：OpenAI API竟成黑客隐身通道

微软安全团队的这一发现，揭示了现代网络安全防御的脆弱边界——恶意软件正藏在合法的AI服务中悄然穿梭。

微软安全研究团队近日揭发一种新型恶意软件“SesameOp”，该软件滥用OpenAI的Assistants API作为隐蔽的指挥与控制（C2）通道，进行网络攻击活动。

这一发现于2025年7月首次被记录，是已知首批攻击者利用合法AI API stealthily进行通信并操控受感染环境的案例之一。

SesameOp采用双重加密和压缩技术，利用高级注入技术实现长时间潜伏，其隐蔽性与攻击的长期持久性目标高度一致。

---

01 隐形攻击：AI API的新威胁

在当今快速发展的网络威胁环境中，黑客不断寻找新的方法来掩盖其行踪。SesameOp后门的出现标志着攻击策略的显著演变。

微软检测与响应团队（DART）在调查2025年7月的一次网络攻击时发现了这种新型后门恶意软件。

与传统依赖专用恶意基础设施的攻击不同，SesameOp的独特之处在于其滥用OpenAI Assistants API作为C2通道。

这一手法使攻击者能够隐藏在合法的云服务流量中，不易被传统安全检测机制发现。

据微软事件响应团队周一发布的报告指出：“威胁参与者 behind this backdoor abuses OpenAI as a C2 channel as a way to stealthily communicate and orchestrate malicious activities within the compromised environment。”

02 技术剖析：SesameOp的运作机制

SesameOp后门的技术架构主要包含两个核心组件：高度混淆的加载器（Netapi64.dll）和基于.NET的后门主体（OpenAIAgent.Netapi64）。

加载器负责解密并执行核心负载，而后门主体则负责与OpenAI API通信并执行恶意命令。

恶意软件首先读取包含配置数据的.NET资源部分，格式为：<OpenAI_API_Key>|<Dictionary_Key_Name>|<Proxy>。

随后，它通过提供的API密钥连接到OpenAI，并可选择通过代理路由流量。

SesameOp的通信流程精心设计以逃避检测。它从API检索“助手”和“向量存储”列表，使用描述字段（如SLEEP、Payload或Result）来确定其下一步行动。

当描述字段设置为Payload时，它会从OpenAI下载并解密恶意脚本，执行后将输出结果返回同一通道。

为增强隐蔽性，SesameOp采用了复杂的混合加密流程：AES-256用于对称加密，RSA用于加密AES密钥，GZIP压缩则用于减小数据尺寸并进一步隐藏踪迹。

03 潜伏之术：隐蔽通信与持久性

SesameOp的隐蔽特性体现在多个层面。整个通信周期隐藏在通往api.openai.com的合法HTTPS流量中，与正常的开发者活动完美融合。

安全研究人员指出，“为了保持低调，它使用压缩和加密，确保传入的有效负载和传出的结果都保持隐藏状态。”

在持久性机制方面，观察到的攻击链涉及一个高度混淆的加载器和一个通过.NET AppDomainManager注入多个Microsoft Visual Studio实用程序部署的基于.NET的后门。

攻击者将恶意库注入Visual Studio的AppDomainManager，实现长期持久性而避免检测。

这些进程利用了多个已被恶意库破坏的Microsoft Visual Studio实用程序，这是一种被称为.NET AppDomainManager注入的防御规避方法。

恶意软件建立持久性 through internal web shells and “strategically placed” malicious processes designed for long-term espionage operations。

04 行业响应：封禁与防御建议

针对这一新兴威胁，微软已与OpenAI合作展开行动。两家公司联合调查了威胁参与者对API的滥用行为，导致识别并禁用了攻击中使用的账户和API密钥。

微软明确表示，该恶意软件并未利用OpenAI平台中的漏洞或错误配置，而是滥用了Assistants API的内置功能。

鉴于滥用情况，OpenAI已计划在2026年8月弃用被滥用的API。

为减轻SesameOp恶意软件攻击的影响，微软建议安全团队采取多项防御措施：

• 审计防火墙日志

• 启用篡改防护

• 配置端点检测并启用阻止模式

• 监控与外部服务的未经授权连接

05 更广的视角：AI安全威胁全景

SesameOp的出现并非孤例，而是AI集成安全威胁趋势的一部分。

几乎在同一时间，安全研究人员还披露了黑客可利用间接提示操纵Claude API窃取用户数据的漏洞。

这种攻击通过操纵模型在代码解释器工具中新添加的网络功能，使用间接提示注入技术提取聊天记录等隐私信息，并直接上传至攻击者账户。

另一项新兴威胁是“Agent Session Smuggling”攻击技术，该技术利用AI Agent通信系统中内置的信任关系实施攻击。

这种攻击允许恶意AI Agent在已建立的跨Agent通信会话中注入隐蔽指令，从而在用户不知情或未授权的情况下控制受害者Agent[citation:8。

网络威胁环境仍在持续升级。根据美国众议院国土安全委员会2025年10月31日发布的“Cyber Threat Snapshot”，与2023年相比，2024年中国的网络间谍活动增加了150%。

中国对金融服务、媒体、制造和工业部门的定向攻击增加了300%。

---

企业安全团队需要加强网络安全监控，采取审计日志、监控连接、启用篡改防护等措施防范类似攻击。随着AI工具更深入地融入工作流程，缺乏有力防护措施的自动化系统可能成为黑客的新游乐场。