微软因遭遇黑客攻击,紧急切断了托管在GitHub上至少70个开源项目的访问权限。黑客通过“供应链攻击”将恶意软件注入代码中,旨在当用户在Claude Code、Gemini CLI和VS Code等AI编码应用中打开被入侵的工具时,窃取其密码及敏感凭证。
微软发言人本·霍普(Ben Hope)证实,公司在调查期间暂时删除了相关存储库,目前部分代码库经审核已恢复。这已是微软开源项目在过去几周内遭遇的第二起已知安全漏洞事件。今年5月中旬,其开源工具Durable Task就曾遭黑客入侵,安全机构OpenSourceMalware指出此次事件是对该项目的“再次入侵”。
在AI大模型与开源生态深度融合的当下,这起针对巨头资源库的入侵事件再次敲响了安全警钟。随着AI编码助手渗透率大幅提升,开源供应链已成网络攻防的新主战场,如何构建更具韧性的代码审查与安全防护机制,是AI时代各科技巨头亟待解决的共性课题。