2026年6月12日
作者:Shubhii Verma
国家计算机网络应急技术处理协调中心预警恶意第三方AI工具
中国网络安全监管部门发布风险预警:市面上第三方人工智能工具与插件规模持续扩张,部分工具宣称能够绕过安全管控限制、生成违规内容,甚至支持加密货币挖矿操作。监管机构表示,这类缺乏监管的AI技能程序潜藏多重重大风险,可能造成数据泄露、网络安全事件,使用者还可能承担相应法律责任。
国家计算机网络应急技术处理协调中心(CNCERT)通过官方微信公众号发布该预警,重点提示AI插件及附加服务快速泛滥带来的隐患。在当前AI生态体系中,AI技能程序作用类似于手机应用程序,能够让AI模型、智能代理对接外部服务、自动化执行任务、调取数据库,实现标准文本生成之外的各类定制化功能。
绝大多数AI技能程序用于合法合规场景,但国家计算机网络应急技术处理协调中心警示,已有部分开发者专门兜售可绕过内置安全管控机制的工具。该机构指出,部分插件向用户承诺解锁受限内容生成权限,或是提供加密货币相关功能,其中就包括在中国大陆地区属于明令禁止的加密货币挖矿行为。
监管部门警示挖矿恶意程序及用户面临多重风险
监管部门提醒,使用此类工具可能导致用户隐私泄露、账号封禁、财产受损,甚至受到法律惩处。监管机构着重说明,很多非官方插件会索要大量设备权限,开发者借此有可能获取个人或企业敏感信息。
国家计算机网络应急技术处理协调中心同时指出另一类高危恶意AI技能程序:它们诱导用户下载加密货币挖矿软件,或是操控AI智能代理自动安装挖矿程序。这类程序会在后台偷偷占用算力挖掘数字代币,造成用户电费飙升、设备运行卡顿、硬件老化损耗加剧等问题。
国内AI高速发展催生全新网络安全难题
本次预警发布正值中国人工智能产业高速扩张阶段。Manus、扣子(Coze)、Dify、Flowith等主流AI平台均开放生态,鼓励第三方开发者定制专属技能程序,拓展平台功能边界。该模式虽助力技术创新,但外部代码接入AI运行环境,也催生了全新安全风险。
安全研究人员多次提示,可运行第三方代码的AI智能代理新增了攻击面,极易被网络不法分子利用。AI安全开源测评平台JailbreakBench的数据显示,恶意提示注入、遭篡改的插件依然能高成功率绕过主流AI厂商部署的安全防护机制。
针对上述风险,国家计算机网络应急技术处理协调中心给出建议:用户仅从官方渠道下载AI技能程序,安装前仔细核查申请调取的各项权限;企业需建立AI插件严格审批流程,开展安全审计,并在隔离环境中部署AI系统,守护敏感数据安全。随着各行业智能化落地提速,国内监管机构愈发注重在技术创新、网络安全与用户权益保护三者间寻求平衡,尤其是当下非官方AI工具迭代愈发成熟、传播范围持续扩大,相关管控力度也在同步加强。
