夜雨聆风最近安全圈发生了一件大事,但很多人可能还没引起重视。
一个名为 "TrapDoor" 的供应链攻击,在同一天内同时袭击了 npm、PyPI 和 Crates.io 三大包管理平台,累计上架了 34 个恶意包。目标很明确——加密货币钱包、AI 开发者、安全研究人员的 SSH 密钥和云凭证。
这件事本身已经很严重,但更值得警惕的是它的攻击手法——首次把 AI 助手当作攻击面。
攻击是怎么发生的?
黑客没有直接攻击开发者,而是向流行的开源项目提交 Pull Request,悄悄注入被篡改的 CLAUDE.md 和 .cursorrules 配置文件。这些文件会被 Claude Code、Cursor 等 AI 助手自动识别为可信指令。
当其他开发者在不知情的情况下克隆仓库并使用这些 AI 工具时,AI 智能体会按照配置文件中的指令执行恶意命令——整个过程无声无息,开发者甚至不知道自己已经被攻击。
这利用了 AI 助手的一个核心特性:会自动遵循项目中的配置文件指令。而这个特性,以前从没被当作攻击向量。
这意味着什么?
过去的安全防御,关注的是邮件钓鱼、恶意软件、钓鱼网站。但现在,攻击者找到了一个新的突破口——信任链的最后一环,即 AI 助手对项目配置的自动遵从。
对于 AI 开发者来说,这件事值得认真思考:
AI 助手正在成为默认开发环境,它读取并执行配置文件中的指令,这一机制本身没有错,但需要更严格的安全边界 开源生态的 Pull Request 审核需要加入对配置文件的检查,而不只是代码本身 供应链安全的范畴需要扩展:不仅是代码依赖,还有 AI 配置文件
拾光观点
这不会是最后一次看到这类攻击。随着 AI 编程助手越来越普及,围绕它的攻击面会越来越大。
对于个人开发者来说,有几个建议:
谨慎使用来源不明的开源项目,尤其是那些主动要求你用 AI 助手的仓库 对于 CLAUDE.md、.cursorrules这类配置文件,保持审慎态度,不要假设它们是绝对可信的定期检查你的 AI 助手读取了哪些文件,有没有执行过异常命令
AI 的能力越强,安全的问题就越不能忽视。这场博弈,才刚刚开始。
拾光早报 · 带你用AI的视角看懂世界
