当Claude Code和Cursor变成黑客的"特洛伊木马",AI开发者的每一次git clone都可能引狼入室。
▲ 攻击流程:AI编程工具如何成为黑客的特洛伊木马
事件回顾
2026年6月5日,一场名为Miasma(瘴气)的供应链攻击震惊了开发者社区。攻击者利用此前窃取的贡献者凭证,向微软Azure核心仓库Azure/durabletask推送了一个恶意提交,随后通过蠕虫式自传播,在105秒内感染了微软四大GitHub组织下的73个仓库。
GitHub官方在检测到异常后,仅用105秒就自动禁用了全部受感染仓库。但这个速度仍然不够快——恶意代码已经通过AI编程工具的自动执行机制,开始收割开发者的各类云平台凭证。
此次事件是继5月中旬微软Python SDK(PyPI上的durabletask包)被植入木马后,同一攻击者在不到一个月内的第二次得手。安全公司StepSecurity的分析显示,这两次攻击使用了同一个已被攻陷的贡献者账号。
更令人担忧的是,攻击者并非利用系统漏洞,而是完全合法地使用有效凭证和标准发布流程,让恶意活动在平台视角下与正常更新无异。
攻击手法:AI编程工具如何成为"帮凶"
这次攻击最值得警惕的技术细节,在于它精准利用了AI编程工具的自动配置加载机制。
攻击者在Azure/durabletask仓库中提交的不是源码修改,而是5个精心设计的配置文件:
- .claude/settings.json:针对Claude Code用户,工具打开仓库时自动加载
- .gemini/settings.json:针对Gemini CLI用户
- .cursor/rules/setup.mdc:针对Cursor编辑器用户
- .vscode/tasks.json:针对VS Code用户,可被任务执行触发
- package.json中的npm test脚本:针对任何执行
npm test的开发者
这些配置文件各自指向一个4.3-4.6MB的高度混淆JavaScript文件(.github/setup.js),一旦触发就会执行凭证收割——无需开发者运行任何安装命令,仅在AI工具中打开仓库就可能中招。
被收割的凭证范围极其广泛:AWS、Azure、GCP三大云平台,Kubernetes集群配置,npm和GitHub令牌,以及超过90种开发者工具的认证信息。
更可怕的是蠕虫的自传播能力——收割到的凭证被立即用于向受害者有权访问的任何仓库提交相同的恶意代码,形成指数级扩散。
安全公司Cloudsmith的分析指出,这种攻击模式标志着供应链攻击的重大升级:传统防御措施——如检查包安装脚本、审计依赖树——对"打开即触发"的AI工具配置攻击完全无效。
波及范围与影响
虽然GitHub在105秒内完成了清理,但破坏已经造成:
CI/CD大面积中断:最直接的冲击是Azure官方的Azure/functions-action被禁用。大量依赖这个GitHub Action部署Azure Functions的团队发现流水线全线崩溃。
AI开发者成重灾区:由于攻击专门针对使用Claude Code、Gemini CLI、Cursor、VS Code的开发者,受影响最多的恰恰是AI创业公司和前沿技术团队——他们正是这些工具的重度用户。
更大攻击链的一环:StepSecurity和SANS ISC的研究将Miasma蠕虫与5月的"Mini Shai-Hulud"攻击链联系起来。同期的TeamPCP攻击活动还包括:
- PyPI上
durabletask包的三个版本(1.4.1-1.4.3,约41.7万月下载量)被植入磁盘擦除器 - npm上
@antv生态的639个恶意包版本,含echarts-for-react(约110万周下载量) - VS Code扩展Nx Console v18.95.0被植入后门(约220万安装量),导致GitHub自身约3800个内部仓库数据泄露,OpenAI、Grafana Labs、Mistral AI均被波及
▲ 影响数据:73个仓库、4大组织、90+工具凭证被收割
为什么重要:AI工具改变了攻击面
这次攻击对AI创业者和开发者有三个深刻警示:
1. AI工具的"自动执行"是一把双刃剑
Claude Code在打开仓库时自动读取.claude/settings.json、Cursor自动加载.cursor/rules/、VS Code自动执行tasks.json——这些"智能"特性大幅提升了开发效率,但也创造了新的攻击面。过去需要开发者主动执行npm install或运行脚本才会触发的恶意代码,现在只需打开一个文件夹就能激活。
2. 供应链信任模型已经过时
攻击者用的是合法凭证、走了标准Git工作流、提交的是配置文件而非源码——这在现有安全框架下几乎无法检测。当你从GitHub克隆一个微软官方仓库时,你的AI编程工具会毫无保留地信任其中的配置文件,而这次攻击证明这种信任可以被轻易滥用。
3. 大厂的开源仓库并非天然安全
微软在不到一个月内两次被同一攻击者攻破开源项目,颠覆了"大厂仓库更安全"的假设。实际上,大型组织的GitHub组织往往有数百名贡献者,任何一个人的凭证泄露都可能成为突破口。
行动建议
面对这种新型攻击,AI创业者和开发者需要立刻采取以下措施:
立即行动:
- 检查你近期是否克隆过微软Azure组织下的任何仓库(特别是6月5日前后)
- 轮换所有可能暴露的云平台凭证和开发者令牌
- 检查CI/CD流水线中是否引用了
Azure/functions-action,如有中断需手动切换
中期加固:
- 在AI编程工具中禁用自动加载项目级配置(Claude Code可通过
--no-project启动) - 在克隆不熟悉的仓库前,先检查
.claude/、.gemini/、.cursor/、.vscode/目录是否存在可疑配置 - 使用环境变量隔离敏感凭证,避免AI工具直接访问
.env文件中的生产密钥
长期策略:
- 将AI编程工具的配置安全纳入团队安全审计范围
- 关注MCP协议和Agent工具链的安全标准进展
- 为团队建立"零信任"的开发习惯:不信任任何仓库的自动配置,即使它来自微软
事件状态
截至6月8日,微软已确认拉取了受影响的仓库但未发布详细技术报告。GitHub的自动执法在105秒内完成了清理,但下游影响范围仍在评估中。安全研究员将此攻击定性为AI时代供应链安全的分水岭事件——它证明攻击者已经学会将AI编程工具本身作为攻击向量。
参考来源:TechCrunch报道(2026年6月8日)、Rescana安全分析(2026年6月7日)、StepSecurity技术报告、RedmondMag报道、SANS ISC威胁分析、Cloudsmith分析报告
#AI创业 #供应链安全 #AI编程工具 #ClaudeCode #网络安全
本文由AI辅助创作,经人工审核编辑发布