Компания Push Security описала технику атак, получившую название LLMShare: злоумышленники создают публично доступные чаты в ChatGPT и Claude, оформляют их под официальные инструкции или уведомления о сбоях, а затем продвигают через платную поисковую рекламу. Пользователь, кликнувший по объявлению, попадает на страницу с адресом chatgpt.com или claude.ai — и именно это делает атаку эффективной.
Оба сервиса позволяют делиться диалогами через публичную ссылку: функция задумана для удобного обмена результатами работы с моделью. Однако та же механика открывает возможность для злоупотреблений. Поскольку ссылки размещены на доменах, которым браузеры и защитные решения по умолчанию доверяют, стандартные инструменты безопасности не поднимают тревогу. Пользователь видит знакомый интерфейс ChatGPT или Claude и не подозревает, что содержимое чата сформировано атакующим.
| Тип индикатора | Значение |
|---|---|
| URL (ChatGPT) | hxxps://chatgpt[.]com/s/cb_6a0f1e6bbec88191aa7fede27163f08d |
| URL (Claude) | hxxps://claude[.]ai/share/8e6401b5-4849-46c4-a3cb-29e1c3c49131 |
| Домен | openew[.]app |
| SHA256 | de8c50e8ccd240ef9d10ec26c26eeb37a4d1cad7c1e0edf3bb6e5689ec2dde78 |
В случае с ChatGPT злоумышленники эксплуатируют встроенную функцию рендеринга кода: с её помощью прямо внутри чата строится полноценная поддельная страница ошибки, которая убеждает пользователя скачать «исправленное» десктопное приложение — заражённый установщик. В Claude атаки оформлены иначе: чаты имитируют руководства поддержки Apple или инструкции по установке Claude Code, внутри которых спрятаны вредоносные команды для macOS Terminal. Один из задокументированных образцов — поддельный гайд по установке Claude Code, ведущий к загрузке малвари (SHA256: de8c50e8ccd240ef9d10ec26c26eeb37a4d1cad7c1e0edf3bb6e5689ec2dde78).
Поисковая реклама направляет пользователей на поддельные страницы с инструкциями по установке ПО или уведомлениями о сбоях.
Проблема не нова по своей логике: злоумышленники давно используют доверенные платформы — Google Docs, GitHub, Notion — как промежуточный хост для фишинга и доставки вредоносного ПО. LLMShare переносит эту схему на ИИ-сервисы, добавляя новый слой правдоподобия: сгенерированный текст выглядит профессионально, а интерфейс чата создаёт иллюзию интерактивной официальной документации. Аналогичные кампании независимо зафиксировали BleepingComputer и Kaspersky, что говорит о том, что техника уже применяется несколькими группами атакующих.
Для отрасли это означает, что репутация домена больше не является достаточным сигналом безопасности. Защитным решениям придётся анализировать содержимое страниц на доверенных доменах, а не ограничиваться проверкой URL. OpenAI и Anthropic, в свою очередь, сталкиваются с необходимостью модерировать публично расшариваемые чаты — задача нетривиальная с учётом масштаба платформ и того, что вредоносный контент может быть сформулирован как вполне легитимная инструкция.
