# AI 辅助编程引发 Gemini CLI / Claude Code 热潮，黑客伪造钓鱼网站散播木马

- 来源：IT之家（RSS）
- 发布时间：2026-06-04 18:59
- AIHOT 分数：60
- AIHOT 链接：https://aihot.virxact.com/items/cmpzeazne02q7slkpxb4dzzkn
- 原文链接：https://www.ithome.com/0/960/100.htm

## AI 摘要

网络安全公司 EclecticIQ 报告称，黑客伪造 Gemini CLI 与 Claude Code 钓鱼网站，利用竞价排名提升山寨站点搜索权重，诱骗开发者执行恶意 PowerShell 安装命令。脚本在后台同时安装真正工具以降低警觉，随后窃取浏览器 Cookie、登录凭据、Local State 数据及数字钱包内容，并具备远程命令执行能力。EclecticIQ 建议开发者核查软件来源，企业启用 PowerShell 限制语言模式（CLM）并使用 FIDO 安全密钥等多因素认证。

## 正文

IT之家 6 月 4 日消息，随着 AI 辅助编程快速普及，Gemini CLI 与 Claude Code 等开发工具近期热度持续攀升，而黑客也开始借此针对开发者发动新一轮攻击。

网络安全公司 EclecticIQ 日前发布报告称，有大量黑客正在伪造 Gemini CLI 与 Claude Code 网站，并利用竞价排名方式提升山寨网站搜索权重，诱骗开发者下载被植入木马的安装程序，最终执行恶意 PowerShell 指令。

IT之家参考通报获悉，黑客注册了多个与官方页面高度相似的钓鱼网站，当开发者访问这些网站后，页面会引导用户复制并执行一段 PowerShell 安装命令。表面上看，这些命令是在安装 Gemini CLI 或 Claude Code，但实际上会先下载并执行木马。事实上，为了降低用户警觉性，相应脚本还会在后台同时安装真正的 Gemini CLI 或 Claude Code，让受害者误以为软件安装一切正常。

具体来看，相应木马会收集受害者设备上的浏览器 Cookie、登录凭据、Local State 数据、数字钱包内容等，同时其还具备远程执行命令能力，意味着黑客后续能够进一步控制受害者设备。

针对这类攻击，EclecticIQ 提醒开发者务必仔细核查软件下载来源，不要轻信搜索引擎结果。同时建议企业统一启用 PowerShell 的“限制语言模式”（Constrained Language Mode，CLM），并采用 FIDO 安全密钥等多因素认证机制，以降低身份凭据被盗带来的风险。
