
惡意網站叫你貼指令,Opera 想喺 clipboard 前截停 ClickFix
Paste Protect 預設開啟,主打擋假 CAPTCHA 同 terminal 陷阱
Opera 出咗咩保護
Opera 喺 7 月 2 日推出 Paste Protect,官方話呢個係主流 browser 入面首個原生 clipboard 攻擊防護。講白啲,當網頁想塞可疑指令入你個 clipboard,或者引你手動複製一段可能會喺 terminal 跑嘅指令,Opera 會先攔低、彈警告,同喺網址列顯示紅色圖示。官方新聞稿寫明呢套偵測會針對 Windows、macOS 同 Linux 常見惡意 script pattern;Security blog 亦講到會顯示擋低咗嗰段內容開頭最多 120 個字元,開發者確認來源可信時可以按住「Hold to Copy」超過 5 秒,或者幫指定網站加做信任網站。

圖片:Opera
ClickFix 點樣呃你
ClickFix 麻煩位喺佢冇靠零日漏洞,係靠你自己完成最後一步。Seraph Secure 拆解嘅例子入面,頁面會扮 CAPTCHA、影片播唔到、假更新頁,叫你撳「I’m not a robot」之類按鈕;嗰下可能已經塞咗惡意文字入 clipboard。跟住頁面叫你開 Windows Run、PowerShell 或 macOS Terminal,貼上同執行。指令好多時會叫系統去攻擊者 server 攞檔再跑,亦可能用 mshta、PowerShell、rundll32 呢類內建工具包住。中咗招,後面可以係 Lumma Stealer 呢類 infostealer,偷瀏覽器密碼、cookie、自動填表資料,甚至開遠端入口。

圖片:Opera
點解而家要理
今次值得睇嘅位喺 clipboard 呢個中間站。防毒軟件同郵件 filter 主要捉外面飛入嚟嘅檔案或連結,ClickFix 就利用你親手跑指令,唔少安全工具未必喺第一下攔到。Huntress 2026 threat report 話 ClickFix 同假 CAPTCHA 已連到超過 50% malware loader 活動;呢個數唔等於每個普通人聽日都會中招,只係反映攻擊者覺得呢招夠平、夠易擴散、夠跨平台。Browser 喺 clipboard 呢一刻出手有道理:惡意網站同 terminal 中間,clipboard 係最後一個可以用低干擾方式叫你停一停嘅位。
開發者特別易踩
開發者、IT admin、用 AI 寫 code 嗰班要特別醒。一般人見到網站叫開 terminal,理論上已經夠怪;但係做技術嘢嘅人,日常就係複製安裝指令、修 build 指令、測試 script。AI 工具又好易畀一段「照貼就得」嘅命令,久而久之大家會快過腦。Paste Protect 對呢班人有用,但係唔好當成保險箱:如果你自己長按 override,或者幫唔熟嘅 repo、論壇、docs 網站加做信任網站,保護就會退場。穩陣做法都係先睇清楚指令做咩,唔明就貼去空白文字檔或 sandbox 睇,唔好直接喺 terminal 跑。
Opera 呢步有幾大用處
要講清楚,Opera 市佔唔高,Paste Protect 亦唔會突然改變大部分人用 browser 嘅風險。官方 blog 寫明功能先喺 Opera One Early Bird mode 推出,新聞稿就用桌面 browser 講法;暫時未見官方話手機版有同一套保護。呢件事幾有意思嘅,其實係 browser 廠終於開始正面處理 clipboard 呢個灰色地帶。以前大家多數靠 OS 權限提示、防毒掃描、公司 EDR;而家惡意網站利用嘅係人手操作,介面提醒可能實際過事後清 malware。
見到呢啲頁面點做
實用判斷好簡單:真 CAPTCHA 唔會叫你離開 browser,亦唔會叫你開 Run、Terminal、PowerShell 或 Command Prompt。任何網頁叫你複製一段你睇唔明嘅指令,再貼去系統工具,都當危險處理;如果已經撳咗 copy,可以即刻複製一段普通文字覆蓋 clipboard,再關咗嗰個 tab。公司 IT 同開發團隊亦應該喺安全 training 入面加返呢類情境,尤其係有員工用 AI 生成指令、照住客服頁面修機、或者經陌生網頁安裝工具嘅場景。Opera 呢步唔算萬能,但方向啱:危險提示要出現喺人手犯錯之前。
參考來源
- Engadget — Opera's new security feature stops copy paste attacks from malicious websites — original report
- Opera launches Paste Protect, the first native defense against clipboard-based attacks in a browser — 確認 Paste Protect 名稱、預設開啟、桌面 browser、Windows/macOS/Linux 偵測、120 字元預覽
- Opera is the first browser to natively protect you from clipboard attacks - Introducing Paste Protect — 確認 Opera One Early Bird mode、用家 override 同信任網站設定
- Here’s how Opera’s Paste Protect guards you natively against clipboard attacks — 補 ClickFix 流程、clipboard hijack/injection 差異、設定路徑
- Meet ClickFix - The CAPTCHA Scam That Tricks You Into Installing Malware — 補假 CAPTCHA、Win+R/PowerShell、infostealer 風險例子
- Huntress 2026 Cyber Threat Report — 補 ClickFix 同假 CAPTCHA 佔 malware loader 活動超過 50% 背景
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







