微软数十个开源AI工具遭供应链攻击，大量开发者凭证被窃

安全研究者近日披露，一场代号为 **Mini Shai‑Hulud** 的 npm/PyPI 供应链攻击正针对 AI 开发者工具链快速扩散，攻击者通过投毒开源依赖包，在安装阶段窃取环境变量、`.env` 文件和访问令牌等敏感信息，已波及包括 OpenSearch、Mistral AI、Guardrails AI、UiPath 等在内的多项 AI 相关开源项目，安全社区因此警告：包括微软生态在内的众多开源 AI 工具及其开发者凭证都面临被大规模盗取的现实风险，但具体受影响厂商和项目仍在排查之中。 部分中文技术社区将此次事件概括为“数十个开源 AI 工具遭供应链攻击、大量开发者凭证被窃”，这一表述反映的是按依赖传播路径推算的潜在影响，而非已由官方完全确认的统计结果。