你從網上復制過終端命令嗎?
我問這個,是因為我自己就干過無數次。裝個博客工具、跑一張示意圖生成器、打一串老是記不住的參數——隨手一復制,啪,貼進終端,回車。忙起來的時候,連看一眼都不看,更不會去細想那段代碼的來歷。就是這么一個無心的習慣,剛好成了當下最難纏的攻擊手法最完美的投送通道。
![]()
安全圈給它起了個名字,叫“點擊修復攻擊”,聽起來挺溫和,好像只是幫你點一下按鈕修個錯。但故事的走向,遠比名字危險得多。
假驗證碼,只是第一幕。
想象一個再平常不過的下午:你正在瀏覽某個網站,突然彈出一個視頻加載失敗,或者冒出來一張“確認你不是機器人”的驗證頁面。你點了,沒反應;再點,還是失敗。屏幕上“貼心”地出現一個修復提示:復制下面這段命令,打開運行窗口(Windows 鍵加 R)或 PowerShell,粘貼進去,回車,問題就解決了。提示的語氣就像系統助手在幫你排錯,而你只想趕緊越過這道障礙,于是照做。手指按下回車的那一剎那,粘貼進來的命令已經跑了起來。緊隨其后的是,一段看不見的惡意代碼把憑據偷走、把密碼倒出,或者直接給你的整臺電腦開了個遠程后門。
整個過程里,沒有文件下載,沒有病毒附件,沒有彈窗告警。用戶只是親手復制、親手粘貼、親手按下了回車。可這個動作,已經把機器的所有權悄悄轉交給了另一雙眼睛。
如果這只是個別案例,也許還能歸為奇技淫巧。但數字已經不給人僥幸的余地了。安全公司 Huntress 的監測報告顯示,2025 年全年,53% 以上的惡意軟件投送事件,走的就是這個門道。53%——這意味著它不再是黑客工具箱里的小眾花招,而是踩著其他傳播方式上位的主流渠道。剛好跨過一半的刻度線,正式宣告一種新的攻擊模式已經扎根。
這個數字背后,藏著的是一張越鋪越大的陷阱網。攻擊者并沒有等待用戶一個個走進他們的站點,而是主動把誘餌植入到本來值得信任的網站里。2025 年 5 月,一系列攻擊事件突然爆發,背后的手法至今還讓人后背發涼。一伙人瞄上了 Ghost CMS 里的一個 SQL 注入漏洞(CVE-2026-26980),順著這個缺口,他們一口氣洗劫了超過 700 個教育和科技類網站。這些網站平時訪問量大、聲譽良好,沒人會懷疑它們。接著發生了什么?攻擊者把篡改過的頁面掛上,當任何訪客打開那個被攻陷的網站,眼前立刻出現一張偽造的 Cloudflare 驗證頁面,和真正的驗證頁面幾乎一模一樣。所有文字、圖形、交互邏輯,都是在引導你把那段命令復制進終端。Malwarebytes 在后續分析里記錄了這一波大規模行動,指出攻擊者把 700 多個正派站點,一夜之間全部變成了“點擊修復”的投毒器。
那傳統殺毒軟件和郵件過濾器跑到哪里去了?這個疑問,正好捅開了 ClickFix 攻擊最狡猾的一層窗戶紙。
反病毒引擎和郵件網關的原理,從誕生第一天起就是一脈相承的模式:守住入口,檢查外來文件。無論是偷偷落地的下載物,還是藏在附件里的惡意程序,只要經過外界進入的通道,安全工具就要把文件拆開、審視、阻斷。可是 ClickFix 攻擊的整個流程,從頭到尾都不產生可供攔截的文件。命令只是文字,出現在一個普通的網頁上。用戶看一遍,用眼睛讀一遍,然后靠記憶或者直接復制的方式,親手輸進終端。在操作系統眼里,這個動作和系統管理員在正常工作沒有任何區別——都是高權限環境里,用戶本人主動發起的合法指令。
Help Net Security 的文章里,引用了研究人員一句很精煉的總結:一次成功的點擊修復攻擊,核心就是“把用戶變成武器”。這句話值得放在聚光燈下反復咀嚼。過去我們習慣的防線,全部建立在一個假設上:攻擊一定來自外部、一定留下文件痕跡、一定可以被程序化的規則捕捉。可一旦攻擊者不再需要繞過殺毒軟件,而是把自己的意圖塞進日常操作流程里,讓用戶自己當“扳機”,那整條防線就徹底錯了位。最新的防病毒引擎在這種落差面前,完全使不上勁。攻擊者甚至不需要去挖掘什么高深零日漏洞,人類下意識的行為模式,本身就是最大的缺口。
正是在這個安全工具集體失語的夾角里,Opera 瀏覽器切進了一個看似不按常理出牌、卻非常貼合攻擊本質的解法。它推出的功能叫“粘貼保護”,簡單說,就是決定盯著剪貼板的動作看一眼。
這套檢測機制有個巧妙的構思:它并不維護一份日益臃腫的惡意代碼特征庫,因為攻擊者隨時可以換一整套命令,讓基于簽名的方案屢屢撲空。相反,它把注意力放在命令本身的行為模式上。無論是在 Windows、macOS 還是 Linux 系統下運行,ClickFix 攻擊慣用的命令套路,都帶著一些可識別的形狀——可能是一串 PowerShell 下載并執行遠程腳本,可能是一長串復雜編碼的參數突然以明文方式要求用戶粘貼。Opera 在瀏覽器層面就能捕捉這些模式。一旦你從網頁上復制的一段文字吻合了這類可疑輪廓,復制動作本身就會被阻斷,地址欄里立刻浮出一個紅色提示圖標。
這個阻斷畫面不會硬邦邦地扔下“不允許”三個字就消失。你可以點開它,瀏覽器會展示被攔截命令的前 120 個字符,讓你看清楚剛剛打算貼進去的到底是一段什么。不過,即便你確認之后還是執意要執行,也不是點擊一次就能放行。Opera 設計了一個延時的物理門檻:你必須用力按住確認按鈕,而且不是一秒兩秒,是超過五秒。這個動作看起來有點固執,但它的用意清清楚楚——消除沖動型操作,把最后一道防線的決定權拉回理性。五秒的強制停留,足夠讓一個稍有些警覺的人多看一眼,也足夠讓著急的人停下來問一句:我真的需要運行這個嗎?
更讓人意外的是一并附送的另一層保護:剪貼板劫持防御。這個功能瞄準的是另一個場景:當你復制了一條銀行賬號或者加密貨幣錢包地址準備轉賬,剪貼板里的內容在無聲無息之中被換成了攻擊者的地址,等你一粘貼,資產已經轉到了別人口袋里。粘貼保護會在關鍵地址被復制時阻止悄悄的篡改,確保你復制什么,就貼出什么。
這個功能的設計哲學,其實已經跳出了傳統安全產品“看文件、封端口”的框架。它不再和被攻擊者的軟件漏洞較勁,而是主動進入用戶的習慣回路里,在復制、粘貼、回車這串連貫動作之間插入一個停頓。它相信人可能會因為疏忽而犯錯,但也相信只要給出足夠明顯的信號和足夠長的緩轉期,人就愿意配合做出更好的選擇。攻擊者原本指望利用的那個“不經思考的操作瞬間”,現在被這個停頓照進了一道光。
回看整個 ClickFix 攻擊的演進路程,這場對抗的轉折點,或許就藏在“行為模式”這四個字里。從最早的偽造錯誤提示,到利用信任網站批量撒網,再到把大部分殺毒軟件晾在一邊——攻擊者始終在和人類的操作慣性賽跑。而 Opera 拿出的應對,沒有試圖造一座更高的墻,而是選擇在用戶和命令之間,放了一小塊減速帶。它知道,有時候光是讓你慢下來五秒,就已經拆掉了整條攻擊鏈上最關鍵的一環。
未來,拷貝命令前的這一秒停頓,可能會像今天進入陌生網頁時先看網址欄一樣,刻進我們的肌肉記憶里。而那個紅色的提示圖標,也許正是這個習慣變遷的第一枚標記。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.