当你在美国政府官网搜索“市议会纪要”时,跳出来的却是一份长达三页的“AI脱衣软件”指南或“动物性玩偶”购买链接。这不是《黑镜》的剧情,而是正在美国数十个政府和高校网站上演的荒诞现实。

在新泽西州欧文顿市的政府官方网站上,市民们本该查找的是“2025-10-14市议会纪要”或“房东登记表”。然而,在一堆枯燥的PDF公文中,一份名为“XnXX Video teachers fking students”的文件显得格外扎眼。

这就好比你走进市政大厅办事,却发现公告栏上贴满了成人网站的小广告。

这并非个例。据404Media获得的最新调查显示,一场大规模的SEO垃圾内容攻击正在席卷全美。数十个属于城市、州镇、甚至联邦机构和知名大学的 .gov和 .edu域名,正在不知不觉中充当起色情内容、AI换脸应用、加密货币骗局以及恶意软件的“分发中心”。

大量政府网站成了“黄网”

安全研究员布莱恩·佩尼揭开了这块遮羞布。他发现的情况不仅是尴尬,简直可以用“魔幻”来形容。

在欧文顿市政府网站上,那份充斥着关键词堆砌的PDF文件,开头便是毫无逻辑的色情搜索词串烧:“Sex xxx video sexy Xvideo...New Viral Video”。而在联邦政府总务管理局(GSA)旗下的合规网站 Reginfo.gov上,竟然托管着一份长达12页PDF,名为“Nudify AI Free, No Sign-Up Needed!”(免费AI脱衣,无需注册),这赤裸裸地指向了一款旨在剥除照片人物衣服的色情AI应用。

受害者名单还在不断拉长:

  • 堪萨斯州总检察长办公室和加州莫哈韦沙漠空气质量管理区的网站上,赫然出现了“DeepNude AI 2025最佳应用”的推广文件。

  • 华盛顿州鱼类和野生动物部、佛罗里达州农业部以及全美各地的大学网站均未能幸免。

更令人咋舌的是,攻击者甚至懒得筛选内容。

纽约州立博物馆的一个在线展览页面,被植入了至少11个重定向链接,点击后会跳转到售卖“逼真斑马/马类性玩偶”的跨境电商页面。田纳西州诺克斯维尔市的一个本应是许可检查的链接,先是伪装成文件托管页,随即跳转到一个充斥着男性生殖器增大补充剂广告和Dr. Oz头像的页面。

甚至还有一个声称是范·迪塞尔电影《极限特工》盗版资源的链接,实际上会直接向访客电脑下载一个.exe可执行文件。

“基本上,只要你在图片搜索里能想到的最疯狂的东西,都能在这些政府网站上找到。” 研究员Penny表示,“这仅仅是冰山一角。”

为什么 .gov成了黑产眼中的“流量金矿”

为什么黑客和垃圾邮件发送者如此执着于攻陷政府网站?答案很简单:权重。

在搜索引擎(如Google)的算法中,.gov和.edu域名拥有极高的信任度和搜索权重。通过一种被称为“寄生虫SEO”(Parasite SEO)的手法,攻击者利用这些高权重域名托管含有大量热门关键词(如 porn, AI nudify, crypto)的PDF文件。

当用户搜索这些词条时,Google会误以为这些内容得到了政府或高校的“背书”,从而将其排在搜索结果的前列。

攻击手法其实并不高深: 这次攻击主要利用了政府网站上允许公众上传文件的漏洞。许多政府网站为了方便企业提交表格或公众反馈,开放了文件上传端口。由于缺乏严格的审核机制和文件类型限制,攻击者可以轻易上传伪装成合规文档的恶意PDF。

一旦文件上传成功,它就成为了黑产链条中的一个“跳板”。

政府网站外包带来的安全黑洞

面对如潮水般的垃圾内容,政府机构的反应显得迟缓且被动。

内华达州交通部(NDOT)在回应中极力撇清关系:“这一事件与NDOT的基础设施或信息系统无关,材料并未托管在NDOT服务器上。”他们将矛头指向了第三方平台——Granicus。

Granicus是一家为全美众多城市和州提供网站后端基础设施的大型政府服务公司。本次受影响的许多(但非全部)地方政府都使用了Granicus的服务。这暴露了一个典型的供应链安全问题:当政府将数字化大门钥匙交给第三方供应商时,往往也交出了安全防线的控制权。

加州州务卿办公室则承认,这是因为“坏人”将非商业文件上传到了商业备案系统(bizfile Online)中。虽然他们声称已采取行动,但这暴露了系统在设计之初就缺乏对滥用的防御考量。

GoUpSec观察:数字治理的“破窗效应”

这起事件与其说是一次高技术含量的黑客攻击,不如说是一次对美国数字基础设施“卫生状况”的羞辱。

攻击者不需要利用零日漏洞,他们仅仅是利用了简单的表单上传功能和管理员的疏忽。研究员Penny甚至不需要复杂的工具,仅仅在Google上输入nudify site:.gov就能一抓一大把。

这反映出美国地方政府在数字化转型中的尴尬现状:系统老旧、过度依赖外包、缺乏基本的安全维护。

当一个国家的数字化门面——政府官网,变成了兜售色情内容和诈骗信息的集散地,这不仅是网络安全问题,更是政府公信力的崩塌。只要Google的算法依然迷信 .gov的权重,只要政府网站依然对此类低级攻击不设防,这场荒诞的“黄帽SEO”就还会继续上演。

毕竟,对于黑产从业者来说,还有什么比免费利用政府服务器来推广色情AI和加密骗局更“划算”的生意呢?

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。