我的电脑中了木马：当 AI Agent 成为攻击向量

> 一个潜伏了一个月的 AMOS Stealer 变种木马，通过 Claude Code 的 bypass 模式进入系统，盗走了我的 X 账号和加密货币钱包。这是真实发生在我身上的事。

---

一、发现：一个可疑的 "苹果进程"

事情已经过去一个多月，但复盘起来仍然心有余悸。

当时让 Claude 和 Codex 分析系统进程，发现了一个叫 com.apple.accountsd.helper.plist 的进程。乍一看，完全像苹果系统的原生守护进程——名字起得太像了，连我都差点忽略过去。

但 Claude 提出了质疑。

就是这个质疑，让我沿着 accountsd 深挖下去，发现了整个攻击链条。

---

二、攻击链条全复盘

第一步：持久化潜伏

木马首先给系统添加了一个开机自启项，确保无论重启多少次，它都会自动启动。

然后，通过 root 权限 写了一个守护脚本。这个脚本每秒探测系统是否有新用户登录——一旦检测到登录，立即通过 AppleScript 脚本切换成当前用户身份，然后运行一个叫做 AccountsHelper 的程序。

第二步：Payload 分析

对 AccountsHelper（SHA256: 9168cbc45f）做了二进制分析：

• 依赖极少：只链接了最基础的系统库，没有明显的恶意特征
• 核心功能：从远端服务器加载指令，然后拉起一个交互式 PTY shell
• 攻击者入口：通过这个 shell，攻击者可以像本地用户一样操控整台电脑

第三步：痕迹清理

这个木马的清理工作做得极好——几乎所有日志都被清干净了。为了溯源，我翻找了将近两个多月的系统日志，只找到一条可疑指令：

一个 curl 操作，下载并执行了一条混淆命令。

解密后得到一个远端 IP 地址——这是整个入侵链条中唯一留下的硬线索。

第四步：确认木马家族

从公开情报中找到了这个木马的归属：AMOS Stealer 恶意软件家族的变种。

• 之前主要针对 Windows 平台
• 2026年4月 第一次在 macOS 上被发现
• 我是早期的受害者之一

三、入侵途径：AI Agent 成了攻击向量

这是最痛的部分。

从 .zhistory 日志看，curl 前后都是 Claude Code 相关操作。高度怀疑就是 Agent 程序引入了这个木马。

我的 Claude Code 长期是 bypass 模式——所有的命令执行都是直接放过，不需要人工确认。问题就出在这里。

推测的攻击路径： 1. 我在做软件安装或更新时，Claude Code 从互联网上找到了某个"看起来正规的资源" 2. 它执行了一个 curl | bash 类的命令 3. 下载的文件不是正版软件，而是伪装成正版软件的木马 4. 木马以 root 权限执行，完成了持久化安装

后来和安全研究者交流，他说近期这类事件特别高频。攻击者的手法是：

• 伪造各种软件的"官网"
• Google 搜索默认排在第一位
• 诱导 AI Agent 或普通用户下载
• 防不胜防

---

四、木马偷走了什么

AMOS Stealer 的主要目标很明确：

1. 加密货币钱包（最高优先级）

• 浏览器插件钱包（MetaMask、Phantom 等）
• 本地钱包文件
• 助记词和私钥

2. 登录态 Cookies

• 这是导致我 X 账号被盗 的直接原因
• 攻击者用我的 Cookies 登录，然后恶意添加了一个 Passkey
• 添加 Passkey 后，攻击者可以随时登录，不需要密码

3. 系统敏感信息

• Keychain 里保存的账号密码
• 聊天工具（Telegram、WhatsApp、微信等）的登录状态
• 开发环境里的 .env 文件
• 各种 API token 和私钥
• SSH key
• 浏览器保存的密码

---

五、我的教训

教训一：所有能加 2FA 的账号，都要加

如果我的 X 账号当时开启了 2FA，攻击者就算拿到了 Cookies，也无法添加 Passkey。

2FA 不是万能药，但它是门槛。攻击者会优先挑没有 2FA 的账号下手——因为容易。

建议：

• X/Twitter：开启 2FA（建议用 Authenticator App，不要用短信）
• GitHub：必须开 2FA，这是底线
• 交易所/钱包：硬件密钥或 Authenticator，不要短信
• Google/Apple ID：开启高级保护
• 所有重要账号：检查一遍 2FA 状态

教训二：AI Agent 的 bypass 模式是双刃剑

我把 Claude Code 设为 bypass 模式，是为了提高效率——不用每次都手动确认。但这个便利的代价是：AI 执行了什么，我完全不知道。

当 AI 在做软件安装、系统更新、包管理时，它访问的是互联网上的资源。如果攻击者伪造了一个"看起来正规的官网"，AI 没有能力辨别真假。

建议：

• 安装/更新软件时，关闭 bypass，改为手动确认
• 对于 curl | bash、pip install、brew install 等命令，必须人工检查来源
• 不要让 AI 自动执行任何涉及 root 权限的操作
• 定期审计系统进程，用 ps、launchctl list 检查可疑项

教训三：日志被清是红旗

正常的软件不会在安装后清理系统日志。如果你发现某段时间的日志缺失或异常，要立即警觉。

教训四：AppleScript 是 macOS 的攻击常用工具

木马用 AppleScript 切换用户身份——这是 macOS 上一个经常被滥用的功能。任何通过 AppleScript 执行系统级操作的脚本都值得怀疑。

---

六、如何自查

如果你也使用 Claude Code、Codex 或其他 AI Agent，建议做以下检查：

# 检查开机自启项
launchctl list | grep -i "account\|helper\|apple"

# 检查可疑的 plist 文件
ls ~/Library/LaunchAgents/
ls /Library/LaunchAgents/
ls /Library/LaunchDaemons/

# 检查近期网络连接
lsof -i -P | grep ESTABLISHED

# 检查系统日志是否有异常清理痕迹
log show --predicate 'process == "log"' --last 24h

# 检查 .zhistory 或 bash_history 中的 curl/wget 命令
history | grep -E "curl|wget|fetch"

---

七、安全研究者怎么说

和几位安全研究者交流后，得到几个关键信息：

1. AMOS Stealer 的 macOS 变种正在快速传播，攻击者利用的是 AI Agent 的"工具调用"能力作为投放渠道 2. 伪造官网 + SEO poisoning 是主要手法，Google 搜索结果的前几位不可信 3. AI Agent 的 bypass 模式正在成为新的攻击面——以前攻击的是浏览器，现在攻击的是能执行系统命令的 AI 4. macOS 用户的安全意识普遍低于 Windows 用户，认为"Mac 不会中毒"是一个危险的幻觉

---

八、一句话总结

AI Agent 让电脑操作变得前所未有地高效，但也让攻击者有了前所未有的投放渠道。我的 X 账号和加密货币钱包，就是在这个便利与安全的夹缝中被偷走的。

两个铁律： 1. 2FA 是底线，不是选项 2. AI 执行命令时，你的眼睛必须在屏幕上

---

参考信息

• 木马家族：AMOS Stealer（macOS 变种，2026年4月首次发现）
• 恶意进程：com.apple.accountsd.helper.plist
• Payload：AccountsHelper（SHA256: 9168cbc45f）
• 攻击向量：Claude Code bypass 模式，伪装软件官网
• 窃取目标：加密货币钱包、Cookies、Keychain、.env、token、SSH key
• 防护建议：2FA、关闭 bypass 模式、定期审计进程

*写完这篇，我把所有账号的 2FA 都检查了一遍。Claude Code 的 bypass 模式也关掉了——效率确实低了，但每次执行命令时看到屏幕上弹出的确认提示，心里踏实多了。攻击者不怕你慢，怕你看见。*

#网络安全 #AMOSStealer #ClaudeCode #macOS #木马 #2FA #AI安全 #真实案例