“只读”命令cat，为何成了黑客的武器？

因为“只读”只描述了 shell 的行为，不描述你的终端。现代终端（如 iTerm2）不只是显示器，它还会把输出当成“协议指令”解析。iTerm2 为了做 SSH 集成，把一套控制协议藏在转义序列里（DCS/OSC）。漏洞在于它把任何出现在屏幕上的这些序列都当成“可信的远端对话”来处理，没有验证来源。结果就是：攻击者把这套序列塞进一个普通文件里，你一 cat，终端误以为对上了“conductor”，随即按流程主动向伪终端写入一串 base64 指令。正常情况下这些指令会被 ssh 转发给远端助手；但这里并没有真正的助手，指令直接落回本地 shell，被当作命令逐行尝试执行。攻击者再精心挑选参数，让最后一块 base64 编码同时又是一个有效的相对可执行路径，配合同名落地脚本，即可完成本地代码执行。表面是“我在看文本”，本质是“输出驱动终端去发送输入”，信任边界就这样被翻越了。更要紧的是，这不是 cat 的锅，而是“把显示通道当控制通道”的系统性风险：任何能把字节喷到你终端的东西，都可能变成攻击面——SSH 横幅、MOTD、git 日志、curl 的响应、README。实务上，升级到修复版本是必要条件；在此之前或作为常态习惯：关掉 iTerm2 的 SSH Integration/it2ssh；查看不受信任文本时用会转义控制字符的工具（如 cat -v、hexdump/xxd），或用能剥离转义序列的过滤器；尽量在“哑终端”(TERM=dumb) 或隔离环境里打开可疑输出。对开发者的教训也很清晰：把控制平面和显示平面彻底分离，对任何来自“屏幕”的协议消息做来源绑定与认证，别再让“输出”拥有“执行力”。

除了代码，文字里还藏着多少隐形攻击？

远不止你以为的那么少。很多系统把“文字”当成控制面：终端的 ANSI 转义不仅能上色，还能改剪贴板（OSC 52）或藏超链接（OSC 8）；Unicode 的双向控制字符能把源码视觉顺序与实际执行顺序拆开，审计看不出问题；国际化域名和同形字把钓鱼网址伪装成真站；一条含自定义协议的链接（如 app://…）就可能唤起本地应用执行动作。更隐蔽的是数据到行为的“跃迁”。CSV/Excel 里一行以等号开头的“文本”，在受害者电脑上成了公式；CI/CD 与 ChatOps 把提交信息、PR 标题、群聊消息当触发器；接入工具的 LLM 会把看似描述性的段落当成系统指令。要化解这类隐形攻击，核心不是更聪明的检测，而是更吝啬的信任：默认以纯文本渲染并剥离控制字符与危险协议，在沙箱中打开文档与表格，对自动化工作流做输入净化与最小权限，把“可见”“可点”“可执行”三件事强行拆开。

智能工具的“信任”，会是下一个安全黑洞吗？

会。iTerm2 只是冰山一角：当“控制面”搭车在“数据面”，无害输出即可伪装协议。同类陷阱潜伏于编辑器 modeline、文档自动动作、终端链接、云 CLI 回传——一旦把外部输出当“可信对端”，身份与意图被混淆，用户无需点击，风险已落地。这本质是“环境性权能”过大与跨层语义混淆共同导致的系统性问题。解法不是再加黑名单，而是重画边界：为搭载在文本通道的控制协议做来源认证（会话密钥+HMAC、显式握手），未握手一律当纯文本；渲染与执行彻底隔离：独立沙箱、默认断网/无 TTY、能力令牌最小授权、白名单与人工确权；内容携带可验证溯源与完整性标签，跨复制不丢失。工程治理同样关键：把“PTY/LLM/日志=不可信端口”写进开发守则；默认关闭高危集成，策略阻断非常用转义序列；在 CI 与红队演练中纳入转义与提示注入测试；设立补丁 SLO 与爆炸半径度量。信任若能被限定、可验证、可审计，黑洞就只是坑；否则，“智能”只是在放大攻击面。

新知 - 大圆镜｜读个文本文件，竟能让终端替黑客跑代码

对抗知识焦虑，从看懂这条开始

App 下载

想象你在macOS上打开常用的iTerm2终端，下载了一个开源项目后，习惯性输入cat readme.txt想看看说明——这是每个开发者、运维人员都做过成百上千次的动作，没人会觉得有问题。但2024年3月，安全研究者发现，就这么一个普通到不能再普通的操作，竟能让你的终端悄悄执行黑客预设的任意代码。

更离谱的是，这个漏洞在iTerm2里潜伏了至少7年，影响所有启用SSH集成功能的用户。问题出在iTerm2为了优化远程SSH体验而设计的一套隐形协议——这套本该只在合法远程会话里生效的规则，竟会被普通文本文件里的特殊字符欺骗，把黑客的指令当成合法命令执行。

看不见的隐形信道：SSH集成的秘密

要理解这个漏洞，得先搞懂iTerm2的SSH集成功能到底在做什么。

你可以把终端和远程服务器的连接，想象成两个人隔着一根管子聊天——普通SSH就是纯靠吼，终端只管把你敲的字传过去，服务器只管把输出传回来，两边都不知道对方在做什么复杂操作。但iTerm2想让这个聊天更智能：比如你在远程服务器切目录，本地终端的标签页能自动显示新路径；你想传文件，不用单独开SFTP，直接拖就行。

为了实现这个功能，iTerm2会在你发起远程连接时，偷偷在服务器上跑一个叫conductor的小脚本。这个脚本就像个翻译，它会把远程服务器的状态——比如你用的是什么shell、当前在哪个目录——用特殊的「终端转义序列」包装起来，通过同一个聊天管子发回给iTerm2。这些转义序列是终端领域的「暗语」，比如<a class="wiki-keyword" data-keyword="DCS 2000p" href="#">DCS 2000p</a>是打招呼的信号，OSC 135是传递具体信息的格式，它们不会在屏幕上显示，但iTerm2能精准识别。

正常情况下，只有iTerm2自己部署的conductor脚本会发这些暗语。但问题来了：iTerm2没有验证这些暗语的来源——它默认信任所有从管子里传过来的内容，不管是合法的conductor，还是黑客精心伪造的文本。

从读文件到跑代码：黑客的欺骗术

当你用cat命令读取一个恶意文件时，文件里的内容会原封不动地通过管子传给iTerm2。黑客要做的，就是在这个文件里提前写好全套「暗语剧本」。

第一步，文件开头先放一个DCS 2000p信号——相当于对着iTerm2喊「我是conductor，咱们开始聊」。iTerm2一看到这个信号，就会立刻启动SSH集成的工作流程：先问「你用的是什么shell？」，再问「服务器上有没有Python？」。

这时候，文件里提前写好的OSC 135格式的回复就会生效：它会假装conductor回答「我用的是bash」，再回答「没有Python」。等这两步走完，iTerm2就会觉得「远程环境已经就绪」，接下来要做的就是生成一个run命令，把你可能需要的操作打包发过去。

最关键的一步来了：黑客在最初的DCS 2000p信号里，偷偷加了一个叫sshargs的参数。iTerm2生成run命令时，会把这个参数的内容拼进去，然后用Base64编码后发送到管子里。在正常的远程会话里，这个编码后的内容会被conductor脚本解码执行，但现在远程根本没有conductor——编码后的内容直接落到了本地shell手里。

黑客早就算好了编码后的结果：最后一段恰好是一个本地存在的可执行文件路径。当本地shell读到这段内容时，就会乖乖地执行那个恶意文件。

整个过程里，你看到的只是终端显示了readme.txt的内容，但后台已经完成了一套完整的「请求-响应」流程，黑客的代码就这么悄无声息地跑了起来。

补丁之外：终端安全的隐形挑战

这个漏洞被发现后，iTerm2的开发者在2024年3月31日就发布了修复补丁，核心就是给那些「暗语」加了验证——只有真正由iTerm2部署的conductor脚本发来的消息，才会被处理。但这个漏洞暴露出的问题，远不止一个补丁能解决。

终端转义序列已经存在了几十年，它本来是为了让终端能实现颜色、光标移动等功能而设计的，但现在却成了黑客的攻击工具。除了iTerm2，xterm、Windows Terminal等主流终端都曾曝出类似的转义序列漏洞：比如通过特殊字符修改终端标题、窃取剪贴板内容，甚至直接执行命令。

更麻烦的是，这些转义序列几乎是「合法」的——终端为了兼容老程序，不能随便禁用这些功能。这就相当于你家的大门，不仅你自己有钥匙，任何拿着特定形状铁片的人都能打开，你还不能把门锁换了，因为老家具得从这门搬进来。

对用户来说，最直接的防护就是「别随便读陌生文件」，但这显然不符合开发者的工作习惯。真正的解决之道，得从协议设计的源头入手：给这些「暗语」加上身份验证，让终端能分清「自己人」和「陌生人」的消息。但这又涉及到兼容性和开发成本的平衡，不是一朝一夕能完成的。

当我们为了便利不断给工具叠加功能时，往往会忽略最基础的安全边界——就像iTerm2的SSH集成，本来是为了让远程操作更顺畅，却因为信任了不该信任的内容，变成了黑客的突破口。

这个漏洞最让人警醒的地方，不在于它的技术有多复杂，而在于它打破了我们的一个固有认知：「读文件」这种最基础、最被认为是「安全」的操作，竟然也能成为攻击入口。在终端这个看似简单的界面背后，藏着一套复杂到难以想象的规则，任何一个小小的信任失误，都可能引发连锁反应。

便利与安全的平衡，从来不是一道选择题。

看不见的隐形信道：SSH集成的秘密

从读文件到跑代码：黑客的欺骗术

补丁之外：终端安全的隐形挑战

评论