AI 组件正在成为供应链入口：从 Axios 事件看开发生产线防守缺口

作者：INF情报

日期：2026-05-28

分类：威胁情报 / 供应链安全 / AI 安全

2026 年上半年，AI 安全的风险重心正在发生变化。过去讨论更多的是提示词注入、模型越狱、数据泄露；现在更值得关注的是另一条路径：攻击者把开源依赖、CI/CD 凭据、模型网关、agent 权限串在一起，形成新的初始访问面。

这不是概念判断。Google Threat Intelligence Group 在 2026 年 5 月发布的 AI 威胁跟踪中明确指出，攻击者已经把生成式 AI 用于漏洞研究、恶意代码开发、基础设施搭建、检测规避和攻击自动化；同时，AI 相关组件本身也开始成为被攻击对象。也就是说，AI 不只是攻击者手里的工具，也正在成为企业资产暴露面的一部分。

更关键的是，AI 组件通常位于传统边界防护之外。它连接模型 API、内部知识库、向量数据库、自动化工具、开发环境和业务系统。只要攻击者拿到其中一个高权限节点，后续不一定需要打穿生产服务器，就可以从构建环境、密钥、日志、检索内容和工具调用权限中获得足够价值。

事件信号

Google/Mandiant 在 2026 年 3 月披露，朝鲜相关威胁行为者曾针对广泛使用的 Axios NPM 包实施供应链攻击。报告披露的关键细节包括：攻击者疑似先控制维护者账号，将维护者邮箱替换为攻击者控制的 ifstap@proton.me，随后在特定版本中引入恶意依赖 plain-crypto-js。该依赖通过 postinstall 安装钩子触发 setup.js，并根据不同操作系统投递后续载荷。

这类攻击最危险的地方，不是某个包名本身，而是执行位置。恶意依赖如果在开发者终端或 CI/CD runner 中运行，面对的不是普通用户权限，而是开发生产线权限：源码、仓库令牌、发布凭据、云访问密钥、制品库权限、环境变量、Webhook secret，以及越来越常见的 AI API key。

Mandiant 披露的样本信息中，核心脚本 setup.js 的 SHA256 为：

e10b1fa84f1d6481625f741b69892780140d4e0e7769e7491e5f4d894c2e0e09

相关 IOC 包括：

sfrclak[.]com

142.11.206.73

这些 IOC 的使用价值不在于“看到就告警”这么简单。更重要的是把它们放回构建链路中复盘：哪些 runner 在相关时间窗口执行过依赖安装；哪些项目锁文件出现过异常依赖；哪些凭据在同一环境中可读；哪些外联来自包管理器、Node 进程或构建脚本。

风险判断

这类供应链攻击正在和 AI 工具链合流，原因有三点。

第一，安装脚本天然适合隐藏初始执行。npm install、pnpm install、yarn install 在依赖生命周期中可能触发 preinstall、install、postinstall、prepare 等脚本。很多团队只审查业务代码提交，却没有审计安装阶段发生了什么。攻击者恰好利用这一点，把执行行为伪装成正常构建流程。

第二，CI/CD runner 是凭据密集区。它通常能访问代码仓库、镜像仓库、云环境、部署系统、通知系统和内部制品库。一次恶意依赖执行，可能直接读取环境变量、配置文件、缓存目录或临时凭据。攻击者不需要从公网边界突破生产服务，只要在构建节点完成凭据窃取，就已经进入企业内部高价值链路。

第三，AI gateway 与 agent 把密钥密度和数据密度叠加在一起。一个模型网关可能同时连接 OpenAI、Gemini、Claude、Azure OpenAI、内部 RAG、向量数据库和业务系统。传统供应链事件主要关注云密钥和仓库 token；AI 组件被拿下后，还可能暴露提示词模板、用户查询、检索片段、调用日志、工具执行权限和内部知识库索引。

从防守视角看，这不是“多了一个 AI 风险点”，而是开发生产线的攻击价值被放大。原来攻击者拿到 CI 凭据可以部署、篡改或窃取源码；现在还可能借助 AI 组件批量检索内部数据、分析代码资产、调用自动化工具，并扩大凭据收集范围。

排查重点

检查 package-lock.json、pnpm-lock.yaml、yarn.lock 和制品库缓存，重点关注 axios 相关高风险版本、异常新增依赖、短时间出现的维护者变更、发布邮箱变化和依赖树突然变深的包。

统计项目依赖中包含 preinstall、install、postinstall、prepare、prepack 的包。对最近 30 天新增或升级的依赖，优先审计脚本行为、网络访问、文件读取和子进程调用。

关注构建机和开发机上由 node、npm、pnpm、yarn、python 发起的异常外连，尤其是依赖安装阶段访问陌生域名、短生命周期域名、非企业代理出口、直接 IP 或云主机地址。

如果确认恶意依赖或异常安装脚本在构建环境执行过，不应只删除依赖。需要轮换 GitHub/GitLab token、NPM token、云访问密钥、镜像仓库凭据、Webhook secret、AI API key 和模型网关访问令牌。

列出所有 AI gateway、agent framework、MCP server、RAG 服务、向量数据库和模型代理。每个组件至少记录五项内容：连接了哪些模型；保存了哪些密钥；能访问哪些内部系统；日志是否包含敏感数据；是否允许工具调用。

检测思路

不要只围绕 CVE 编号建告警。供应链攻击的关键不是漏洞编号，而是构建链路中出现了不该出现的行为。

建议将以下事件纳入关联分析：

单点日志很容易把风险压缩成“一次安装成功”或“一次普通外连”。真正有效的做法，是把 SBOM、锁文件、包仓库日志、CI 日志、EDR、DNS、代理日志和云审计日志串起来看。完整链路通常表现为：新依赖进入、安装脚本执行、外连发生、凭据读取、云 API 调用、AI key 被使用。

治理建议

NPM 已提供 Trusted Publishing/OIDC 机制，核心是用 CI/CD 平台短期身份替代长期发布 token。企业内部制品库也应采用同类原则：发布者身份可验证，构建来源可追溯，制品带 provenance，发布权限最小化，长期 token 逐步退出关键路径。

高价值项目不应默认允许所有依赖生命周期脚本执行。可以按项目分级启用脚本白名单、分阶段构建、只读依赖安装、隔离 runner 和一次性构建环境。对必须执行脚本的依赖，需要保留来源、版本、维护者和脚本内容审计记录。

AI API key 不应进入通用构建任务。确需测试时，应使用隔离项目、低额度密钥、短期凭据和独立审计日志。模型网关中的 key 要分级、限额、绑定用途，并与业务系统权限分离。

Agent 不应默认继承宿主机、浏览器、云 CLI 或内部知识库的全部权限。工具调用需要明确授权、最小权限、可审计、可回放；涉及代码仓库、生产数据、客户信息和云操作的工具必须设置独立审批与速率限制。

结论

Axios 事件值得关注，不是因为它代表某一个包的单点风险，而是因为它展示了一条现实路径：攻击者正在把开源供应链、构建凭据和 AI 组件权限串联起来，绕过传统边界，从开发生产线进入企业高价值资产区。

对企业安全团队来说，下一阶段的重点不是再增加一个“AI 安全检查项”，而是把开发机、构建机、包仓库、制品库、模型网关和 agent 运行环境纳入同一套威胁建模。谁能在这些节点上执行代码，谁就可能拿到比一台 Web 服务器更关键的权限。

参考链接：

https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access

https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package

https://docs.npmjs.com/trusted-publishers/

本文为 INF情报 原创整理，基于公开威胁情报、厂商报告与防守实践进行分析，仅用于安全研究、风险评估与企业防护建设。文中涉及的 IOC、攻击路径和检测建议请在合法授权范围内使用，禁止用于未授权测试、攻击或数据窃取。转载请保留出处与原文链接。