開發者揭露：面試測驗暗藏惡意程式，AI助手成功攔截駭客陷阱

一名資深工程師DavidDodda近期在社群平台分享了自己險些落入精心設計的求職陷阱。他收到一家自稱「Symfa」的區塊鏈公司透過LinkedIn發來的面試邀請，對方不僅自稱是公司區塊鏈長，還提供了看似專業的技術測驗要求他在面試前完成。然而，這份看似正常的測驗作業實際上暗藏惡意木馬程式。Dodda表示，該公司提供的Bitbucket程式庫內容完整、文件整潔，甚至包含企業化的圖示與說明頁面，整體呈現相當專業可信。在即將執行程式前，他起了疑心，決定使用AI助手「CursorAIagent」進行掃描檢查。他向AI詢問是否有可疑程式碼，例如未經授權讀取檔案或存取加密錢包的行為。AI助手立即發現異常，指出userController.js檔案中隱藏了混淆程式碼，該程式會連線至外部網址並執行遠端載入的內容。經解碼後，Dodda確認這確實是惡意木馬，一旦啟動，駭客將能讀取他的檔案、密碼，甚至竊取加密貨幣錢包資訊。更令人警覺的是，該惡意連結會在24小時後自動失效並清除痕跡，幾乎不留任何證據，顯示攻擊者手法相當專業。「這是我見過最逼真的假面試，連Calendly排程、LinkedIn公司頁面都做得一模一樣，」Dodda坦言。此事件在開發者社群引起熱烈討論，許多工程師表示「太真實了」、「比釣魚郵件還難防範」。這類詐騙專門針對開發者，利用技術測驗為名誘使對方執行未知程式碼。專家建議，若有人要求「先執行看看」或急著催交作業，應立即提高警覺，先使用AI工具、病毒掃描或在隔離環境中測試。正如Dodda在文末呼籲：「AI救了我一命。下次有人傳測驗程式給你，別急著執行，花30秒進行掃描，可能救回你整個數位人生。」