2026 假 ChatGPT 与 Sora 下载诈骗：清空加密钱包的谷歌广告陷阱

埃里克的 MetaMask 因为一个 Sora 安装包被清空的那个星期二

埃里克 34 岁，是奥斯汀一家中型 SaaS 公司的市场经理，他等 Sora 2 等得像小孩等续集电影。那天早上他在 X 上看到一条说 Sora 2 已经上线的帖子，在 MacBook Pro 上打开新标签页，敲了五个词：Sora 2 download for Mac。

第一条结果是置顶赞助广告。favicon 是 OpenAI 的旋涡标。站点名写着“OpenAI Sora 2”。下面那行没人会真的去读的灰色 URL 显示 sora-app-download.com。广告文案干净利落：“Sora 2 for Mac。从文字生成电影级视频。现已开放。”埃里克点了进去。

页面不到一秒就加载完。左上是 OpenAI 标志。顶部横条循环播放 Sora 的样片。中间一个带苹果 logo 的大黑按钮，写着“Download for Mac”。埃里克点击。240MB 的 DMG 开始下载。等待时他扫了几眼页面：上面挂着一枚“Norton Verified”的假安全徽章；一个伪造的评价控件显示 12,400 个用户打出 4.8 星；还有一份读起来就像 OpenAI 官方发布稿的“Sora 2 更新日志”。整套东西做工接近像素级完美。

DMG 下载完成。埃里克双击打开。里面是 Mac 安装包再标准不过的样式：左边一个 Sora.app 图标，右边一个指向“应用程序”文件夹的快捷方式，中间一个箭头。他把 Sora.app 拖到“应用程序”。安装程序自动启动。一个干净的窗口弹出来，上面是 OpenAI 标志和进度条。“正在与 OpenAI 服务器校验安装。”进度条五秒走满。“正在配置视频生成引擎。”再过五秒。“即将就绪。”

然后应用打开了。界面看上去和 sora.com 一模一样。熟悉的深色界面、底部的输入框、画廊里那些示例视频。埃里克输入一句提示词：“海岸悬崖日落电影感无人机镜头。”按下生成。转圈大约十秒，然后弹出提示：“请登录你的 OpenAI 账号以生成视频。”他点击 Sign In。打开的页面确实是真的 chat.openai.com 登录页。他输入账号密码。登录失败。再试一次，还是失败。他放弃了，骂了一句“Sora 2 上线日就这么卡”，关掉应用回去工作。

那个看得见的“应用”，其实只是一个嵌入真实 sora.com 的 iframe，他根本不可能在里面登录成功。真正的活儿，是在那条友善的进度条播放时，在后台悄悄完成的。

接下来的三天，什么动静都没有。

而那四秒钟“正在与 OpenAI 校验”显示在屏幕上时，背后发生的事情是这样的。一个名叫 Updater 的 Mach-O 二进制文件被解压到 ~/Library/Application Support/SoraHelper/。一个 LaunchAgent plist 被装进 ~/Library/LaunchAgents/，确保这个二进制每次登录都会启动。该二进制随后扫描 Keychain，匹配名字里包含 "wallet“、”seed“、”metamask“、”trust“、”coinbase“、”kraken“、”ledger“、”trezor“、”ronin“、”phantom" 等大约六十个加密相关字符串的条目。它从 ~/Library/Application Support/Google/Chrome/Default/Cookies 抓走 Chrome 的 cookie，再抓 Brave 的、Edge 的，最后扫了 Safari 的“登录项目”。所有这些数据通过一次 HTTPS POST 被发送到一台命令控制服务器，然后它就潜伏下来。

到了第三天，美国中部时间凌晨 4:12，埃里克的 Gmail 收到一封他从未申请过的密码重置邮件。登录尝试来自一个德国 IP。Gmail 因为对方答不上他没有输入过的双因素验证码而拦住了登录。四十分钟后，他的 Coinbase 出现一笔向陌生地址提走 4,800 美元 ETH 的请求。因为收款地址是新出现的，Coinbase 把这笔提币押进 48 小时复核。凌晨 4:51，他的 MetaMask 被洗劫一空。他放在里面做 gas 的三个 NFT 和 2,300 美元的 USDC，在同一笔交易里被一并扫走。

埃里克在早上 6:15 醒来，打开手机，盯着那封 Coinbase 邮件足足看了一分钟才反应过来自己在读什么。他已经两周没用 MetaMask 连接过任何东西，没签过任何交易，也没点过任何可疑链接。所有标准钓鱼剧本都对不上。

MetaMask 被清空，是因为助记词存在 Keychain 里，而 Keychain 就是星期二下午那个 Sora 安装包扫走的东西。

为什么假 AI 工具下载已经成为头号初始入侵入口

有三件事，把这种攻击推上了 2024 年下半年到 2025 年的头条。第一，每一次 OpenAI、Anthropic、Google 的新产品发布，都会在产品真正可用、媒体把它讲清楚、所有人确认到底有没有桌面版之前，先制造出数以百万计的“下载”搜索高峰。Sora alpha、Sora 2、GPT-5、Claude 3.5 Sonnet、Claude 3.7、Gemini 2.0、Gemini 2.5、Midjourney v6 与 v7。每一次发布都会打开一个 6 到 8 周的新鲜窗口，骗子广告可以反过来把真正的 AI 公司挤掉，因为后者很多时候根本不为这些查询投放广告。

第二，信息窃取木马已经做成了服务化生意。Windows 上有 RedLine、LummaC2、AsyncRAT，macOS 上有 AMOS（Atomic macOS Stealer）和 Banshee。Malware-as-a-Service 运营方按月几百美元卖订阅，把生成器交给客户，让他们自行把载荷套上当周最热的主题外壳。埃里克跑的那个“Sora 安装包”，其实和四个月前另一批人冒充 Cursor IDE 分发的，是同一份 LummaC2 编译版本。

第三，载荷的外观已经被调教到与所有合法 Mac DMG 和 Windows 安装包都几乎无差。真实风格的“拖到 Applications”布局、像模像样的进度条、像模像样的“正在与厂商校验”文案。有些攻击战役甚至带着从廉价证书签发机构买来或从被入侵签名密钥盗来的有效代码签名证书，连 macOS Gatekeeper 的警告都不会弹出。这些安装包在 2024 和 2025 年的视觉合法度，比 2023 年那批东西高了一个台阶。

账算下来非常残酷。投放广告的团伙，每次点击大约付 3 到 6 美元。三百次安装里只要有一次成功清空加密钱包，就能拿回 4,000 到 40,000 美元不等。这个回报率几乎打败了过往任何一种钓鱼路径。

假安装包背后那张信息窃取木马的生态图

你下载的所谓“Sora 安装包”或“ChatGPT for Mac”，无非来自一小撮被点名记录在案的恶意软件家族。每一个都被安全厂商在 2024 和 2025 年深入剖析过。记住名字本身不重要，记住类别才重要。

• RedLine Stealer（Windows）。自 2020 年活跃至今。扫走浏览器密码、cookie、自动填充、FTP 凭据、Discord 令牌、Steam 令牌、Telegram 会话以及加密钱包扩展数据（MetaMask、Phantom、Trust、Ronin、Exodus、Atomic）。地下论坛订阅价约 150 美元/月。SentinelOne 记录了 2024 年多起把 RedLine 套在假 AI 工具安装包外壳里、通过谷歌赞助广告分发的活动。
• LummaC2（Windows，也有 Mac 变种）。2024 年迅速崛起。Cisco Talos 与 SentinelOne 都把 LummaC2 列为当年最猖獗的三大窃密家族之一。盯着浏览器数据、加密钱包、双因素备份；最近还新增了抓取 Microsoft Outlook 配置文件的能力。在 2024-2025 的遥测数据里，假 AI 安装包外壳是它三大分发方式之一。
• AsyncRAT（Windows）。开源远程访问木马，操控者可以完整接管被害机器的键盘、鼠标和屏幕。常常和窃密器配套使用：窃密器先扫一遍，AsyncRAT 留下来做长期通道。Cisco Talos 2024 年记录的多次针对“AI 生产力工具”用户的攻击都用了它。
• NetSupport RAT（Windows）。原本是一款合法的远程支持工具，多年来被滥用作后门。2024 年 eSentire 与 Mandiant 的报告显示，攻击者用伪造的“ChatGPT 集成”页面分发 NetSupport。安装完成后弹出的可见窗口里，往往就是真实的 ChatGPT iframe，让受害者完全察觉不到异常。
• AMOS / Atomic Stealer（macOS）。2024 与 2025 年称霸 Mac 端的信息窃取木马。Mandiant 和 Malwarebytes Labs 都记录了 AMOS 在过去一年明显增长，主要交付方式就是以 ChatGPT、Sora、Notion AI、Loom AI、Figma AI 为主题的假 DMG 安装包。AMOS 盯着浏览器数据、Keychain 条目、加密钱包扩展与应用数据，还有 Apple Notes。几乎可以肯定，跑在埃里克 MacBook 上的就是它。
• Banshee Stealer（macOS）。2024 年内浮出水面的较新 Mac 窃密器。价格比 AMOS 低，所以更受小型团伙青睐。攻击对象一样：Keychain、浏览器 cookie、加密钱包应用。Elastic Security Labs 在 2024 年末做过记录。

ESET 的 2024 下半年威胁报告把信息窃取木马列为当年增长最快的恶意软件类别之一，并把赞助链接分发点名为 Windows 与 Mac 两个平台上的主要入口方式。报告还专门把假 AI 工具安装包定性为 2024 年下半年的标志性主题。

真实的分发模型：OpenAI、Anthropic、Google 与 Midjourney 究竟如何交付

本节是整篇文章里最重要的部分。请记牢。假 AI 工具安装包之所以奏效，是因为大多数用户并不清楚真正的产品到底怎么发行。

OpenAI ChatGPT 与 Sora。默认只跑在浏览器里。在 chatgpt.com 使用 ChatGPT，在 sora.com 使用 Sora，登录你的 OpenAI 账号即可。OpenAI 确实为 macOS 和 Windows 提供了官方 ChatGPT 桌面版，但下载链接只在 chatgpt.com 本身（注意 OpenAI 页脚或设置面板里那条很小的 Download for Mac / Download for Windows 链接），安装包由 OpenAI L.L.C. 签名。Mac App Store 同样收录了这款官方 ChatGPT 应用，开发者也是 OpenAI L.L.C.。没有任何独立的“Sora 应用”可供下载，Sora 只在 sora.com 的浏览器里运行。

Anthropic Claude。默认浏览器使用，地址是 claude.ai。Anthropic 也提供 macOS 和 Windows 上的官方 Claude 桌面版，下载链接在 claude.ai 本身，签名方为 Anthropic PBC。Mac App Store 同样以 Anthropic PBC 名义收录。任何其他开发者的“Claude 安装包”都是假的。

Google Gemini。仅浏览器使用，地址是 gemini.google.com。也内嵌在 Google Workspace 应用，以及 iOS 与 Android 的 Google App 里。没有任何独立的 Mac 或 Windows Gemini 桌面安装包。让你“下载 Gemini for Mac”的人，卖给你的肯定是别的东西。

Midjourney。仅浏览器使用，地址是 midjourney.com（新版网页应用），以及 Midjourney 的 Discord 机器人。没有任何 Mac 或 Windows 的 Midjourney 安装包。所有图像生成都在 Midjourney 的服务器上完成，结果渲染到你的浏览器里。

Microsoft Copilot。网页地址 copilot.microsoft.com。Windows 11 与 Microsoft 365 系列应用里有原生集成。Windows 上独立的 Copilot 应用，只从 Microsoft Store 分发。没有任何第三方“Copilot 安装包”可下载。

看出规律了吗。这份清单上每一款 AI 产品都是浏览器优先。少数几个合法的桌面版应用，只来自厂商自己的域名、Microsoft Store 或 Mac App Store。任何场景下，你都不应该从一条赞助谷歌广告点进去的网站，去下载所谓的 AI 工具安装包。

点击任何“AI 工具下载”链接前的红旗信号

如果你正准备从某个页面下载，看到下面任意两条信号，请直接关闭标签页。下面这份清单只用于说明模式，不是穷尽式的黑名单。

• URL 里夹了连字符或多余的词。sora-app-download.com、chatgpt-for-mac.com、claude-ai-download.net、gemini-installer.co、midjourney-app.shop。真正的官方域名是 sora.com、chatgpt.com、claude.ai、gemini.google.com、midjourney.com。连字符和后缀，是这套骗局里最便宜的破绽。
• 顶级域名不对。本应是大牌 .com 的，结果出现 .help、.shop、.co、.net、.download、.app。真正的 OpenAI 从不用 .help。真正的 Anthropic 从不用 .shop。
• 页面为一个根本没有真实安装包的工具提供下载。Sora、Midjourney、Gemini 完全没有 Mac 或 Windows 安装包。任何提供它们安装包的站点，按定义就是假的。
• 页面上挂着假安全徽章。Norton Verified、McAfee Secure、TrustPilot 4.8 星。这些徽章只是图片，不是真的校验，真正的 Norton 或 McAfee 徽章点开会跳到验证页。假的徽章点过去哪也不去。
• 页面要求你绕过 Gatekeeper 或 SmartScreen。“要安装 Sora，可能需要右键点击并选择'打开'，然后在警告框里点'仍要打开'。”真正的 OpenAI 安装包已完成签名与公证，根本不需要这一套动作。
• 安装包是 DMG 或 EXE，捆绑了额外的“helper”或“updater”组件。真正的应用只装一个主体。假安装包会丢下 Updater、Helper、Service 二进制，有时还会带 LaunchAgent 或 LaunchDaemon。装完立刻打开活动监视器（Mac）或任务管理器（Windows）。如果看到一个名字你并没有装过的进程在跑，机器就已经中招。
• 可见的应用什么都不做，或者只是在一个窗口里加载真实站点。埃里克跑的那个 Sora 安装包，就是用一个 Electron iframe 套住了真实的 sora.com。登录不通，是因为根本没有任何集成。这是 2024-2025 年假 AI 安装包活动里最常见的套路。

每款工具的真实官方地址，零例外

把下面这些一次性收藏好，以后别再通过谷歌搜索去访问。浏览器地址栏，是访问任何 AI 工具最安全的入口。

• ChatGPT：chatgpt.com（也可用 chat.openai.com）
• Sora：sora.com
• Claude：claude.ai
• Gemini：gemini.google.com
• Midjourney：midjourney.com
• Microsoft Copilot：copilot.microsoft.com
• Perplexity：perplexity.ai
• Grok（X）：grok.com，或在 x.com 内访问
• OpenAI 账号控制台：platform.openai.com
• Anthropic Console：console.anthropic.com

上面这些工具里，唯一存在的桌面版应用是：官方 ChatGPT 桌面版（来自 chatgpt.com 或 Mac App Store）、官方 Claude 桌面版（来自 claude.ai 或 Mac App Store），以及 Microsoft Copilot 应用（来自 Microsoft Store）。其余全是浏览器标签页。不存在 Sora 安装包，不存在 Gemini 安装包，不存在 Midjourney 安装包，不存在任何能从谷歌广告下载到的“Perplexity for Mac / Windows”。

2024 与 2025 的权威报告到底是怎么写的

这不是一次性事件。最新的权威数据显示，假 AI 工具安装包攻击在 2024 全年和 2025 年都在持续放大。

• Google Ads 安全报告 2024（2025 年 4 月发布）：谷歌在 2024 年因违反政策拦截或下架了 55 亿条广告，并暂停了 3,900 多万个 广告主账号，相较 2023 年明显跃升。商标滥用、欺骗性内容和恶意软件分发被单独点名，是当年增长最快的执法类别。报告特别提到，针对冒充大型软件品牌的赞助链接进行了重点打击。
• ESET 2024 下半年威胁报告：信息窃取木马被列为下半年增长最快的恶意软件类别之一。报告把 macOS 上的 AMOS 标识为 Mac 端的头号窃密家族，季度环比增长贯穿 2024 全年，主要驱动力正是假 AI 工具安装包分发。
• SentinelOne Labs 2024：当年发布了多份对 LummaC2 与 RedLine 攻击战役的深度分析，其中包括把这两款窃密器套成假 ChatGPT 和 Midjourney 安装包、通过赞助谷歌广告分发的活动。
• Cisco Talos 2024：记录了多起把 AsyncRAT、NetSupport 和 LummaC2 通过伪装成“AI 生产力工具”落地页分发的活动，主题包括假 Claude、假 Notion AI 和假 ChatGPT 安装包。
• Malwarebytes Labs 2024：全年多篇分析记录了假 ChatGPT 与 Midjourney 下载活动。该实验室把赞助链接型恶意软件分发，描述为 2024 年最稳定持续的威胁模式之一。
• Bitdefender Labs 2024：第四季度的写作直接覆盖了在 OpenAI 宣布 Sora 后几周内出现的假 Sora 安装包活动，分发渠道正是赞助谷歌搜索广告。
• Mandiant 2024：发布了关于 Mac 信息窃取木马持续增长的研究，特别把 AMOS 列为当年头部家族。假 AI 工具安装包外壳被点名为主要交付路径。
• FBI 互联网犯罪报告 2024（IC3，2025 年 4 月发布）：2024 年全年互联网犯罪报告损失达到 166 亿美元，比 2023 年增长 33%。仅加密相关损失就高达 93 亿美元。钓鱼与基于恶意软件的个人设备入侵，是最主要的初始入侵入口之一。

有一个数字值得记住：FBI 报告显示 2024 年全年加密相关损失 93 亿美元。其中相当一部分，正是从一次从赞助谷歌广告下载的假软件安装包开始的。

如果你已经运行过假 AI 安装包，该怎么办

如果埃里克的故事里有任何一段让你觉得“似曾相识”，请立刻行动。钱包被清空发生在安装后的几天，而不是几分钟。你还有时间窗口，请用好它。顺序很重要。

• 把那台机器当成已被入侵处理。不要再在那台设备上登录任何敏感账号。不碰网银、不碰交易所、不碰邮箱、不碰公司账号。换到一台干净的二级设备（手机、伴侣的笔记本、平板）来完成下面的恢复步骤。
• 立刻轮换每一个加密钱包的助记词。只要助记词曾被存进 Keychain、密码管理器、纯文本文件、截图或任何浏览器可访问的地方，就要视为已被泄露。在干净设备或硬件钱包（Ledger、Trezor）上生成一个新钱包，并在攻击者动手之前把所有代币转到新地址。详细步骤可见我们的 加密助记词被盗后该怎么办 指南。
• 在干净设备上重置每一个密码。顺序：先邮箱（Gmail、Outlook、iCloud），再交易所（Coinbase、Kraken、Binance），然后银行，接着社交（X、Facebook、LinkedIn），最后其余账号。每个账号都退出所有会话。在一台全新的认证器应用里重新绑定双因素，而不是用已被入侵设备上的那一个。
• 撤销活跃会话与令牌。大多数主流平台都有“登出所有设备”或“活跃会话”页面。每个账号都做一遍。尤其是 Google、Apple、Microsoft、Discord、Telegram 以及任何交易所。
• 从干净设备运行一次完整反恶意软件扫描。Mac：Malwarebytes for Mac，配合 BlockBlock、KnockKnock 以及 Objective-See 的免费工具，可以揪出窃密器丢下的 LaunchAgent 或 LaunchDaemon。Windows：Malwarebytes Premium 加上 Windows Defender 全盘扫描。要彻底干净的话，唯一稳妥的做法是完全重装系统，只备份数据、不备份应用。
• 检查邮箱转发规则。窃密器常常会偷偷加一条 Gmail 或 Outlook 的转发规则，让攻击者收到你日后所有的密码重置邮件。Gmail 路径：设置 → "转发和 POP/IMAP“，确认没有任何转发地址。Outlook 同理。
• 提交报案。FTC：reportfraud.ftc.gov。FBI 互联网犯罪投诉中心：ic3.gov。如果交易所已经有了未授权提币，向该交易所反欺诈团队报案并申请交易追踪。一些交易所在分钟级时间内收到报案，可以冻结资金。

如何举报这条假谷歌广告

无论你是在中招前看到，还是在中招后才意识到，请把广告举报掉。每一次举报，都会缩短下一名受害者陷入的窗口。

• 点击谷歌搜索结果里广告右侧的三点菜单。选择“举报该广告”，然后选“具有误导性”或“看起来不安全”。这条反馈会直接进入谷歌广告安全团队。
• 把 URL 转给 Google Safe Browsing：safebrowsing.google.com/safebrowsing/report_phish/。会把链接加入 Chrome、Firefox 和 Safari 共用的全球黑名单。
• 向 FTC 举报：reportfraud.ftc.gov。
• 向 FBI IC3 提交：ic3.gov。涉及资金损失时尤为重要。
• 转发给 APWG（反钓鱼工作组）：reportphishing@apwg.org。
• 如果假站冒充的是 OpenAI、Anthropic、Google 或 Microsoft，请直接向品牌方提交滥用举报。OpenAI：trust@openai.com。Anthropic：security@anthropic.com。Google：g.co/abuse。Microsoft：cert.microsoft.com。

最后更新：2026 年 5 月 30 日

SafeBrowz 如何拦截这类威胁

SafeBrowz 采用三层检测架构：本地 + API + AI。

• 第一层，本地检测：60+ 条 URL 模式和 550+ 个品牌专属签名直接在你的浏览器中运行。这一层会在点击瞬间、在 DMG 或 EXE 下载之前，拦下 sora-app-download.com、chatgpt-for-mac.com、claude-ai-download.net 以及其他“连字符 + 顶级域名替换”型变体。OpenAI、Anthropic、Google、Microsoft 与 Midjourney 都在品牌数据库中，连字符后缀和错误顶级域名的高仿模式会与真实的 chatgpt.com、sora.com、claude.ai、gemini.google.com、copilot.microsoft.com、midjourney.com 做匹配比对。
• 第二层，API 核查：Google Safe Browsing、PhishTank 与 URLhaus 交叉比对在服务端进行。任何在全球任何一处被举报的恶意域名，都会被即时识别。这包括 AI 新品发布期间每隔几个小时就被烧掉、又被换上新身份的一次性高仿域名。
• 第三层，AI 深度扫描（高级版）：内容分析能识别任何黑名单都尚未收录的全新高仿页面。例如两个小时前刚上线的假 Sora 落地页、还没被任何渠道举报的 chatgpt-installer.shop 仿冒站，或是刚出炉的 midjourney-app-download.co。支持超过 100 种语言。

检测特征来自威胁情报研究和我们自有的品牌数据库，并非来自用户浏览数据。SafeBrowz 不存储每位用户的浏览记录。

常见问题

Mac 或 Windows 上真的有 ChatGPT 桌面版应用吗？

有，但只有一条路。OpenAI 为 macOS 与 Windows 发行了官方 ChatGPT 桌面版。下载链接就在 chatgpt.com 本身，Mac App Store 也以开发者 OpenAI L.L.C. 的名义收录了同一款应用，安装包由 OpenAI L.L.C. 签名。除此之外，任何其他站点的“ChatGPT for Mac”或“ChatGPT 安装包”都是假的。没有所谓独立的 Sora 应用，没有所谓单独的 GPT-5 安装包，也没有所谓“ChatGPT Pro 下载”。这些都属于诈骗广告的变体。

有可以下载的 Sora 应用吗？

没有。Sora 只在浏览器里运行，地址是 sora.com，登录你的 OpenAI 账号即可使用。Mac、Windows、Linux 上都不存在 Sora 桌面版。任何提供“Sora 下载”或“Sora for Mac”的网站，按定义就是假的。如果你已经运行了其中一个，请把那台机器当成已被入侵，并按本文的恢复步骤处置。

Mac 或 Windows 上有 Claude 应用吗？

有。Anthropic 为 macOS 与 Windows 发行了官方 Claude 桌面版。下载链接在 claude.ai 本身，Mac App Store 以 Anthropic PBC 的名义收录。任何其他域名的“Claude 安装包”都是假的。同样的规则适用于“Claude 3.5 Sonnet 下载”或“Claude 3.7 下载”这类广告：这些产品只在浏览器里运行，或者通过 claude.ai 上的官方桌面版使用。

RedLine Stealer 是什么？它是怎么进入我电脑的？

RedLine 是一款 Windows 信息窃取木马，自 2020 年起以“恶意软件即服务”形式在地下论坛出售。它会扫走保存的密码、浏览器 cookie、自动填充数据、加密钱包扩展数据、Discord 与 Steam 令牌、FTP 凭据，以及截图。它通常被装进一个假软件安装包里（破解游戏、假 AI 工具、假生产力应用），通过赞助谷歌广告、YouTube 评论链接或恶意下载站分发。SentinelOne 和 Cisco Talos 都在 2024 年的分析中把 RedLine 列为当年分发最广的窃密家族之一。

AMOS Stealer 是什么？为什么 Mac 用户尤其要警惕它？

AMOS（即 Atomic macOS Stealer）是 2024 与 2025 年称霸 Mac 端的信息窃取木马家族。Mandiant、Malwarebytes Labs 等都做过记录。它盯着 macOS 的 Keychain（许多用户在那里存放加密钱包助记词、交易所密码和 SSH 密钥）、浏览器 cookie、浏览器保存的密码，以及加密钱包应用与扩展。主要分发渠道，是以 ChatGPT、Sora、Notion AI、Loom AI、Figma AI 等生产力工具为主题的假 DMG 安装包。我们故事里几乎可以肯定跑的就是它。

如果我怀疑自己运行过假 AI 安装包，第一步该做什么？

立刻换到一台干净的二级设备，从那里轮换每一个加密钱包的助记词。MetaMask、Phantom、Trust 这类浏览器扩展钱包是攻击者最看重的目标。在干净设备上、最好是直接在硬件钱包（Ledger、Trezor）上生成新钱包，并在攻击者动手前把所有代币转到新地址。助记词轮换完成后，再去做密码重置、会话注销、完整反恶意软件扫描。第一个小时最关键，超过 24 小时后追回成功率会大幅下滑。