06-09
微软关闭70多个GitHub库,因黑客推送恶意软件窃取用户凭证
近日,网络安全研究人员披露,微软官方 Visual Studio Marketplace 上两款号称具备 AI 辅助功能的编程扩展被发现暗藏恶意代码,可在开发者不知情的情况下持续窃取源代码等敏感数据,其中一款还被 GitHub 员工误装,导致约 3800 个 GitHub 内部代码库遭到黑客窃取,暴露出 AI 编程助手与代码托管平台在供应链安全上的巨大隐患。 微软与 GitHub 已紧急下架相关扩展、启动大规模安全审计并清理与攻击者相关的项目和仓库,多家报道提到平台正在封禁数十个恶意或受控代码库,不过截至目前微软并未公开确认“70 多个代码库”的精确数量,具体清理规模仍有待官方进一步披露。 同期,微软还公开了 Anthropic 旗下 Claude Code 在 GitHub 自动化工作流中存在的严重漏洞,攻击者可通过提示词注入窃取 CI/CD 凭证,进一步加剧外界对 AI 编码工具安全性的担忧。
6 来源
事件经过:恶意 AI 编程扩展牵出 GitHub 内部大规模泄露
攻击手法解析:从窃取源代码到获取凭证的“隐身”链条
微软与 GitHub 的应对:下架扩展、清理仓库与“生存级”安全审计
Claude Code 漏洞与 AI 编码助手的系统性风险
本内容由AI生成