微软数十个开源AI工具遭供应链攻击，大量开发者凭证被窃

最近，微软在GitHub上托管的一批开源项目突然被紧急切断了访问权限——至少70个项目。事情是这样的：黑客通过供应链攻击的方式，悄悄把恶意软件注入到代码中。一旦用户在Claude Code、Gemini CLI或VS Code这类AI编码工具里打开那些被入侵的组件，密码和敏感凭证就会被悄然窃取。这招直指AI开发生态的核心命脉，不可谓不狠。

微软发言人本·霍普（Ben Hope）证实，调查期间公司暂时删除了相关存储库，目前部分代码库经过审核已经恢复上线。算起来，这已经是微软开源项目在短短几周内遭遇的第二起安全漏洞事件。今年5月中旬，开源工具Durable Task就曾被黑客入侵过，安全机构OpenSourceMalware指出，这次是对该项目的“再次入侵”——同一把刀，扎在了差不多的地方。

在AI大模型与开源生态加速融合的当下，这起针对巨头资源库的入侵事件无异于又一声警钟。AI编码助手的渗透率正在大幅提升，开源供应链自然而然成了网络攻防的新主战场。如何构建更有韧性的代码审查与安全防护机制，已经不是可选项，而是AI时代所有科技公司必须直面的共性课题。纯粹的信任已经不够用了，深度防御才是出路。