近日欧盟网络安全机构CERT-EU发布公告确认,欧盟官方域名europa.eu此前发生的大规模数据泄露事件,源头为开源漏洞扫描工具Trivy的供应链攻击,攻击者共窃取350GB敏感数据并已在暗网公开泄露。由于大量AI开发团队正采用同类工具做供应链校验,该事件已引发全球科技行业对AI研发链路安全的广泛关注。
根据CERT-EU披露的技术溯源报告,此次被利用的Trivy漏洞存在于2024年2月至4月发布的7个官方稳定版本中,攻击者通过入侵上游构建服务器植入后门,让这款原本用于检测软件供应链漏洞的工具本身变成了攻击载体。欧盟官方运维团队在例行更新安全工具后,内部服务器的未加密业务数据被后门程序批量外传,直到暗网出现相关数据售卖信息才发现攻击行为。
作为Aquasec公司推出的开源漏洞扫描工具,Trivy因为轻量化、兼容性强的特性,已经成为DevOps流程中的主流安全工具,全球累计下载量突破3亿次。尤其在AI开发领域,近40%的大模型研发团队会将Trivy纳入CI/CD流水线,用于检测训练框架、推理服务的第三方依赖漏洞,防范组件层面的安全风险。
网络安全机构Mandiant的监测数据显示,2024年上半年全球开源供应链攻击事件同比上涨78%,其中针对AI开发工具的攻击占比首次突破20%,攻击者已经把瞄准传统软件的攻击路径,复制到了AI研发链路中。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录