2026年6月,微软至少70个托管在GitHub上的开源AI项目遭供应链攻击,黑客注入恶意代码,意图在用户使用Claude Code、Gemini CLI、VS Code等AI编码工具时窃取密码及敏感凭证。微软发言人本·霍普证实已暂时删除涉事存储库,部分经审核后恢复。这是微软近几周内第二起开源安全事件,此前5月其Durable Task工具曾遭入侵。
安全机构OpenSourceMalware的溯源报告显示,本次攻击的隐蔽性极强:黑客利用此前泄露的低权限项目账号侵入代码库,将恶意脚本嵌入AI工具的依赖包更新中,整个操作伪装成常规的功能迭代提交,未经过安全审核的普通开发者几乎无法识别风险。
与传统供应链攻击不同,本次黑客的目标明确指向AI编码工具用户。当开发者使用Claude Code、Gemini CLI、VS Code等AI编码助手拉取被入侵的开源项目代码,或是在VS Code中调用相关AI工具插件时,嵌入的恶意脚本会自动执行,窃取本地存储的Git凭证、云服务访问密钥、数据库密码等敏感信息,甚至可以获取开发者设备的远程操作权限。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录
滇公网安备 53252802528133号