2026年6月,科技巨头微软托管在GitHub平台的数十个开源项目仓库遭黑客入侵,被植入窃取用户密码的恶意代码,受影响项目覆盖Azure云服务相关组件及多款热门AI开发工具关联依赖。安全企业Cloudsmith与恶意软件分析平台OpenSourceMalware最早发现异常,事件已引发全球AI开发者群体对软件供应链安全的高度关注。
6月9日,多个全球开发者社区首先流出异动反馈:部分开发者更新微软官方开源的AI开发组件后,本地终端的密码管理工具、云权限校验系统多次触发异常告警,溯源后发现相关组件的最新版本被嵌入了未公开的恶意代码。随后微软官方紧急下架了涉事的数十个GitHub仓库,启动全量安全排查。
根据安全机构后续披露的细节,此次黑客攻击属于典型的软件供应链攻击,且目标明确指向AI开发群体。
受影响的项目集中在两类:一类是微软Azure云服务的AI能力对接组件,用于帮助开发者快速调用云端的大模型推理、训练算力;另一类是热门AI开发工具的关联依赖,包括集成Claude Code、Gemini命令行界面、VS Code AI编码插件的公共组件库。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录
滇公网安备 53252802528133号