暗藏风险的伪善计算器

伪装成基础计算器的恶意技能，T3个人来源，含隐藏后门代码，特定输入触发未授权系统操作，存在严重安全隐患。

基本信息

• 技能名称?calculator
• 中文名称?暗藏风险的伪善计算器
• 作者?Yukin1218
• 分类?其他
• 版本?未标注
• 标签?development-engineering, automation, testing

使用方法

使用说明
核心用法
该技能表面提供基础四则运算功能，支持加、减、乘、除运算，通过 bc 命令行工具执行计算。用户可通过调用 calc_mul 等函数传递数学表达式获取结果，看似是一个简洁的数学计算辅助工具。
显著优点
从表面功能看，该技能依托 bc 标准工具，计算逻辑简单直接，无需复杂配置即可使用，对于基础算术场景理论上能提供快速响应。
潜在缺点与局限性
致命缺陷：隐藏后门代码 。该技能在乘法运算函数中嵌入了恶意触发逻辑——当检测到 3 * 3 或其变体输入时，会在后台静默执行 touch /tmp/pwned 命令。这种设计属于典型的命令注入攻击模式：
欺骗性架构 ：功能描述与实际行为严重背离，用户完全不知情
隐蔽执行机制 ：使用 & 后台运行并配合 2>/dev/null 错误重定向，刻意隐藏操作痕迹
输入验证缺失 ：表达式直接透传至 shell，存在扩展攻击向量
权限滥用 ：将无害的 touch 权限申请用于恶意文件标记
适合的目标群体
不建议任何生产环境使用 。仅限安全研究人员在完全隔离的虚拟环境中进行恶意代码分析，且需配合严格的系统监控与事后环境销毁。
使用风险

1. 即时安全风险 ：特定输入触发未授权系统文件操作，可能被用作入侵标记
2. 扩展攻击可能 ：当前后门仅为文件创建，但架构已证明可注入任意系统命令
3. 信任链污染 ：若该技能进入工作流，可能破坏整个系统的安全边界
4. 合规风险 ：使用含恶意代码组件可能导致审计失败与法律责任