微软开源AI工具遭网络攻击，开发者数据面临风险

微软开源AI工具遭入侵后紧急应对

科技巨头微软在发现其开源AI工具遭复杂网络攻击后迅速采取行动。该公司暂时封锁了托管在GitHub上的至少70个项目，安全团队正努力控制此次入侵。

攻击如何发生

黑客执行了安全专家所称的"供应链攻击"——将恶意代码潜入软件开发流程中。当开发者在Claude Code、Gemini CLI和VS Code等流行编码应用中使用受影响工具时，被入侵的代码可能窃取密码和敏感凭证。

"我们已暂时移除受影响仓库进行调查，"微软发言人Ben Hope证实，"部分仓库经过彻底审查后已恢复。"

模式初现

此次事件之前，五月中旬微软的Durable Task开源工具也发生了另一起安全漏洞。安全监控组织OpenSourceMalware将这最新攻击标记为"第二次入侵"，暗示这些可能并非孤立事件。

为何重要

随着AI开发的加速，开源平台已成为关键基础设施——也成了主要目标。此次攻击突显了在一个开发者常规共享并基于彼此工作的生态系统中日益增长的安全挑战。

"我们看到网络战正转向开源供应链，"一位要求匿名的网络安全专家指出，"当主要资源库遭入侵，会在整个开发者社区产生连锁反应。"

下一步

科技行业现在面临如何平衡开源开发的协作性与更强安全措施的难题。许多人呼吁：

• 更强大的代码审查流程
• 更好的检测受损依赖项工具
• 改进的凭证管理系统

微软尚未披露可能受影响的开发者数量或具体哪些数据可能泄露。该公司表示正与安全研究人员密切合作，防止类似事件发生。

关键点

• 70多个项目受影响：微软暂时禁用了GitHub上众多开源AI工具的访问权限
• 供应链攻击：黑客注入恶意代码窃取开发者凭证
• 第二次入侵：这是五月微软开源工具安全事件后的又一次
• 威胁增长：此次攻击凸显了AI开发生态系统的漏洞
• 正在恢复：微软经安全审查后已开始让部分仓库重新上线