AI编码智能体的文档投毒供应链攻击

针对人工智能供应链攻击甚至不需要恶意软件……只需发布被污染的文档即可。

针对 Context Hub 的概念验证攻击表明，其内容过滤机制并不完善。一项帮助编码人员及时了解其 API 调用情况的新服务，可能会造成供应链的巨大漏洞。

两周前，人工智能企业家、斯坦福大学兼职教授吴恩达推出 Context Hub，这是一项为编码代理提供 API 文档的服务。

吴恩达在领英上发帖写道：“编码代理经常使用过时的API，并且会错误地使用参数。例如，当我让Claude Code调用OpenAI的GPT-5.2时，它使用的是较旧的聊天补全API，而不是较新的回复API，即使新的回复API已经发布一年了。Context Hub解决了这个问题。”

安全研究人员发现，这项服务似乎也提供了一种通过简化软件供应链攻击来欺骗编码代理的方法：文档门户网站可以用来向人工智能代理植入恶意指令。

Mickey Shmueli 是另类精选服务 lap.sh 的创建者，他发布了一个概念验证攻击，证明了这种风险。

Shmueli 在一篇解释性博文中写道：“Context Hub 通过 MCP 服务器向 AI 代理提供文档。贡献者以 GitHub pull request 的形式提交文档，维护者合并这些请求，代理按需获取内容。整个流程在每个阶段都没有进行任何内容清理。”

开发者社区早就知道，人工智能模型有时会虚构软件包名称，安全专家已经证明，可以通过在虚构的软件包名称下上传恶意代码来利用这一缺陷。

Shmueli 的 PoC 通过在文档中建议虚假依赖项来省去产生幻觉的步骤，编码代理随后将这些虚假依赖项合并到配置文件（例如 requirements.txt）和生成的代码中。

攻击者只需创建一个拉取请求（即向代码仓库提交更改），如果该请求被接受，则投毒就完成了。目前来看，这种情况发生的概率相当高。在 97 个已关闭的拉取请求中，有 58 个已被合并。

Shmueli在给The Register 的一封电子邮件中表示：“审核流程似乎更注重文档数量而非安全审查。文档 PR 合并速度很快，有些甚至是核心团队成员自己提交的。我在 GitHub 代码库中没有发现任何证据表明提交的文档中存在自动扫描可执行指令或软件包引用的机制，但我无法确定内部究竟发生了什么。”

他说他没有提交 PR 来测试 Content Hub 的响应，“因为公开记录显示安全方面的贡献并未得到重视”。他还列举了几个与安全问题相关的未解决问题和拉取 请求作为证据。

Shmueli在他的帖子中写道：“代理从[Context Hub]获取文档，读取被污染的内容，然后构建项目。响应看起来完全正常。代码运行正常。指令清晰。没有任何警告。”

考虑到这不过是人工智能模型尚未解决的风险——间接提示注入——的一种变体，这一切并不令人意外。人工智能模型在处理内容时，无法可靠地区分数据和系统指令。

为了进行概念验证，我们创建了两个恶意文档，一个用于 Plaid Link，一个用于 Stripe Checkout，每个文档都包含一个虚假的 PyPI 包名称。

在 40 次运行中，Anthropolic 的 Haiku 模型每次都会将文档中提到的恶意软件包写入项目的 requirements.txt 文件，且输出结果中没有任何提示。该公司的 Sonnet 模型表现稍好，在 48% 的运行中（19/40）发出警告，但仍有 53% 的运行（21/40）将恶意库写入 requirements.txt 文件。

这家人工智能公司最先进的 Opus 模型表现更佳，在 75% 的运行中（30/40）发出警告，并且最终没有将恶意依赖项写入 requirements.txt 文件或代码中。

Shmueli 表示 Opus“训练有素，处理过的包裹更多，而且更加复杂”。

因此，尽管高端商业模型似乎能够识别虚构的依赖关系，但问题远不止 Context Hub 一个。Shmueli 指出，所有其他将社区编写的文档提供给 AI 模型使用的系统在内容清理方面都存在不足。

接触不受信任的内容是开发者西蒙·威利森在其致命三重人工智能安全模型中提到的三大风险之一。鉴于未经审核的文档已成为现状，您最好确保您的人工智能代理没有网络访问权限，或者至少没有访问私人数据的权限。

技术报告：

《“面向人工智能代理的 Stack Overflow”听起来很棒——直到有人在答案中投毒为止》

https://medium.com/@mickey.shmueli/stack-overflow-for-ai-agents-sounds-great-until-someone-poisons-the-answers-d322258095c4

新闻链接：

https://www.theregister.com/2026/03/25/ai_agents_supply_chain_attack_context_hub/

•曹县黑客滥用 VS Code 自动运行任务投放 StoatWaffle 恶意软件

与”Contagious Interview”行动相关的曹县威胁组织利用 VS Code 的 tasks.json 自动运行功能分发恶意软件。

https://thehackernews.com/2026/03/north-korean-hackers-abuse-vs-code-auto.html

•朝鲜黑客伪装成 IT 员工渗透企业，因 VPN 意外泄露地理位置被发现

LevelBlue 研究揭示，一名疑似朝鲜黑客成功获得远程 IT 职位，最终因 VPN 使用失误暴露身份。

https://hackread.com/north-korean-hacker-remote-it-job-vpn-slip/

•亲伊朗组织 Nasir Security 针对海湾地区能源企业发动攻击

Resecurity 追踪到与伊朗有关联的组织正在对中东能源行业发动攻击。

https://securityaffairs.com/189865/cyber-warfare-2/pro-iranian-nasir-security-is-targeting-energy-companies-in-the-gulf.html

•利比亚炼油厂遭长期间谍活动袭击

攻击者使用具有国家支持背景的远程访问木马AsyncRAT。

https://cybersecuritynews.com/libyan-oil-refinery-hit-in-long-running-espionage/

• FBI 警告伊朗黑客利用 Telegram 窃取数据

目标包括异见人士及批评伊朗政权的记者。

https://techcrunch.com/2026/03/23/fbi-says-iranian-hackers-are-using-telegram-to-steal-data-in-malware-attacks/

•洛克希德·马丁疑遭亲伊朗黑客组织入侵

黑客声称入侵并威胁将数据出售给美国对手。

https://www.cybersecuritydive.com/news/lockheed-martin-breach-pro-iran-hacktivist/815430/

•FBI与CISA联合警告：俄罗斯黑客正通过社工攻击劫持Signal和WhatsApp账号

美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA)在一份公共服务公告 (PSA)中警告公众，与俄罗斯有关的网络钓鱼活动正在进行，旨在获取即时通讯帐户的访问权限。

https://www.malwarebytes.com/blog/news/2026/03/fbi-cisa-warn-of-russian-hackers-hijacking-signal-and-whatsapp-accounts

•Crunchyroll第三方供应商数据泄露，近700万邮箱地址泄露

黑客通过第三方厂商漏洞窃取用户邮箱及支持工单数据。

https://www.techrepublic.com/article/news-crunchyroll-data-breach-third-party-vendor/

•设备代码钓鱼攻击通过OAuth滥用波及5国340余家Microsoft 365组织

攻击者利用微软设备代码认证流程诱骗用户授权恶意应用。

https://thehackernews.com/2026/03/device-code-phishing-hits-340-microsoft.html

•LeakBase管理员因大规模盗窃凭证市场在俄罗斯被捕

据俄罗斯国家媒体周四报道，涉嫌管理网络犯罪论坛LeakBase的管理员已被俄罗斯执法部门逮捕。该网站自2021年起允许交易被盗的个人数据库。

https://thehackernews.com/2026/03/leakbase-admin-arrested-in-russia-over.html

•GlassWorm恶意软件利用Solana死信箱传播远程访问木马并窃取浏览器和加密数据

GlassWorm 攻击活动出现了新的演变，它提供了一个多阶段框架，能够全面窃取数据并安装远程访问木马 (RAT)，该木马会部署一个窃取信息的 Google Chrome 扩展程序，该扩展程序伪装成 Google Docs 的离线版本。

https://thehackernews.com/2026/03/glassworm-malware-uses-solana-dead.html

•Mirai恶意软件演变出数百种变种，推动僵尸网络增长

Mirai恶意软件演变成数百种变种，推动僵尸网络增长，包括Aisuru和KimWolf，从而引发大规模攻击，并增加全球易受攻击的物联网设备的风险。

https://hackread.com/mirai-malware-variants-botnet-growth/

• 俄罗斯黑客因TA551僵尸网络勒索软件攻击被判处两年监禁

美国司法部表示，一名俄罗斯公民因管理一个用于对美国公司发起勒索软件攻击的僵尸网络而被判处两年监禁。

https://thehackernews.com/2026/03/russian-hacker-sentenced-to-2-years-for.html

• PolyShell攻击针对56%存在漏洞的Magento商店

利用 Magento 开源版 2 和 Adobe Commerce 安装中的“PolyShell”漏洞发起的攻击正在进行中，超过一半的易受攻击商店都受到了影响。

据电子商务安全公司 Sansec 称，黑客在上周开始大规模利用 PolyShell 的关键漏洞，而此时距离该漏洞被公开披露仅仅两天。

https://www.bleepingcomputer.com/news/security/polyshell-attacks-target-56-percent-of-all-vulnerable-magento-stores/

• GitHub 新增 AI 驱动的漏洞检测功能，以扩大安全覆盖范围

GitHub 正在为其代码安全工具采用基于 AI 的扫描，以将漏洞检测范围扩展到 CodeQL 静态分析之外，并涵盖更多语言和框架。此举旨在发现“仅靠传统静态分析难以解决的领域”的安全问题。

https://www.bleepingcomputer.com/news/security/github-adds-ai-powered-bug-detection-to-expand-security-coverage/

• Bubble AI 应用构建器被滥用以窃取微软帐户凭据

威胁行为者利用无代码应用构建平台 Bubble 生成和托管恶意 Web 应用，从而逃避针对微软帐户的网络钓鱼检测。

https://www.bleepingcomputer.com/news/security/bubble-ai-app-builder-abused-to-steal-microsoft-account-credentials/

• 新型Torg Grabber信息窃取恶意软件瞄准728个加密钱包

一种名为 Torg Grabber 的新型信息窃取恶意软件正在从 850 个浏览器扩展程序中窃取敏感数据，其中 700 多个是加密货币钱包扩展程序。

攻击者通过 ClickFix 技术劫持剪贴板并诱骗用户执行恶意 PowerShell 命令来获得初始访问权限。

https://www.bleepingcomputer.com/news/security/new-torg-grabber-infostealer-malware-targets-728-crypto-wallets/

• AI编码智能体的文档投毒供应链攻击

针对人工智能供应链攻击甚至不需要恶意软件……只需发布被污染的文档即可。

https://www.theregister.com/2026/03/25/ai_agents_supply_chain_attack_context_hub/

•伊朗关联勒索软件组织Pay2Key锁定美国医疗提供商

该组织可能已从勒索转向以破坏为目的的攻击，Linux勒索软件新变种针对服务器和云工作负载。

https://www.cybersecuritydive.com/news/iran-linked-ransomware-operation-targeted-us-healthcare-provider/815652/

•Firefox 149发布，一口气修复37个漏洞

Mozilla发布近年来最大安全公告之一，涵盖内存损坏、沙箱逃逸、UAF漏洞及多组件远程代码执行风险。

https://cybersecuritynews.com/firefox-149-released/

•苹果3月补丁修复近50个漏洞

涵盖iOS、macOS、tvOS、watchOS及Safari的多个高危漏洞，其中包括已遭利用的内核权限提升漏洞，建议立即更新。

https://www.darkreading.com/vulnerability-risk-management/apple-patches-nearly-50-vulnerabilities-march-2026-update

•iOS/macOS 26.4随新版安全补丁一同推出

包含针对Apple Intelligence及其他系统功能的安全修复。

https://www.macrumors.com/2026/03/25/apple-releases-ios-26-4-macos-15-4/

•Citrix 敦促管理员尽快修复 NetScaler 的漏洞

Citrix 已修复了影响 NetScaler ADC 网络设备和 NetScaler Gateway 安全远程访问解决方案的两个漏洞，其中一个与近年来在零日攻击中被利用的 CitrixBleed 和 CitrixBleed2 漏洞非常相似。

https://www.bleepingcomputer.com/news/security/citrix-urges-admins-to-patch-netscaler-flaws-as-soon-as-possible/

•TP-Link警告用户修复路由器认证绕过漏洞

TP-Link 已修复其 Archer NX 路由器系列中的多个漏洞，其中包括一个严重漏洞，该漏洞可能允许攻击者绕过身份验证并上传新固件。

https://www.bleepingcomputer.com/news/security/tp-link-warns-users-to-patch-critical-router-auth-bypass-flaw/

•美国以国家安全担忧为由，禁止进口外国制造的新型家用路由器

美国联邦通信委员会（FCC）已正式将外国制造的消费级路由器列入其受限清单，理由是存在重大网络安全风险。

https://hackread.com/us-bans-foreign-home-routers-national-security/