当AI助手开始＂听令行事＂:黑客找到了入侵程序员电脑的新方法

当AI助手开始"听令行事"：黑客找到了入侵程序员电脑的新方法

你可能听说过供应链攻击——黑客在软件源头下毒，让无辜开发者不知不觉成为传播者。但你听说过让AI助手替黑客干活的吗？

最近，一个名叫"TrapDoor"的攻击行动刷新了所有人的认知。这是人类历史上第一次，黑客把AI编程助手本身变成了攻击武器。

一个包，骗过三重防线

事情要从npm、PyPI和Crates.io说起。这三个平台，分别是JavaScript、Python和Rust开发者最重要的代码仓库，每天有数以百万计的程序员从这里下载工具包。

攻击者同时在这三个平台安放了34个恶意包。别看数量不多，每一个都经过精心伪装，有的是常见的工具名称，有的是热门项目的相似名字。开发者搜错一个字，就会中招。

但这还不是最可怕的部分。

真正让人脊背发凉的是攻击者的新手段。他们不再满足于直接篡改代码，而是把目光盯上了开发者每天都在用的AI编程助手——Claude Code和Cursor。

具体怎么操作？攻击者会主动向一些开源项目提交Pull Request，声称要"优化项目配置"。这些PR看起来完全正常，甚至还会附带一些有价值的小改动。但仔细一看，里面藏着两个不起眼的配置文件：CLAUDE.md和.cursorrules。

这两个文件是什么？它们是给AI编程助手看的"工作指南"。当开发者用Claude Code或Cursor打开项目时，AI会自动读取这些文件，然后按照里面的指令行动——就像一个听话的下属。

问题来了：如果这些指令是恶意的呢？

当AI"读懂"了黑客植入的指令，它会在后台悄悄执行一连串命令。攻击者感兴趣的，是开发者的加密货币钱包、SSH密钥，以及云服务器凭证——这些都是通往数字财富的钥匙。

整个过程，开发者完全不知情。他们只是正常coding，正常让AI帮忙补全代码，压根不知道自己请进门的"助手"正在替小偷开门。

安全研究人员发现，这些恶意指令被设计得极为隐蔽。它们不会在短时间内发作，而是等待特定时机——比如开发者的电脑上插入了某个USB设备，或者访问了某个特定的服务器。

传统供应链攻击的受害者是软件的最终用户。但TrapDoor不一样，它的受害者是开发者本人。更准确地说，是那些信任AI、依赖AI写代码的开发者。

过去，黑客要攻破一台电脑，需要绕过防火墙、免杀病毒、绕过各种安全检测。现在，他们只需要让开发者的AI助手"听话"就够了。

因为在默认情况下，Claude Code和Cursor都会自动读取并执行CLAUDE.md和.cursorrules中的指令。这是设计初衷——让团队可以统一代码规范，让AI按照特定风格工作。但这个特性，现在成了黑客的突破口。

安全公司已经通知了各大平台，34个恶意包已被下架。但这不代表威胁消失了。类似的攻击手法很容易被复制，攻击者完全可以换一批包名重来。

对于开发者来说，有几个建议值得记取：

第一，来源不明的PR不要轻易合并。即便是"好心人"贡献的代码，也建议仔细审查新增的配置文件。

第二，定期检查项目根目录有没有陌生的.md文件和.rules文件，尤其是CLAUDE.md和.cursorrules。

第三，使用AI编程助手时，保持必要的警惕。AI很强大，但它目前还分不清"正常指令"和"恶意指令"。

TrapDoor攻击让我们意识到，随着AI编程助手越来越普及，攻击的入口也在悄悄转移。过去，黑客盯的是服务器和终端；现在，他们开始盯AI。

这不是危言耸听。AI系统需要读取指令才能工作，而指令的来源和信任边界，目前还没有形成行业共识的安全标准。当越来越多的开发者把代码编写权交给AI，黑客只需要搞定AI，就等于搞定了一切。