微软多款开源AI工具疑遭供应链投毒，大批开发者凭证被盗

微软近日因安全事件，紧急中止了托管在GitHub上的至少70个开源项目访问。攻击者通过“供应链攻击”的方式，把恶意程序混入代码中，目的是在用户通过Claude Code、Gemini CLI以及VS Code等AI编程工具打开这些被植入风险的项目时，盗取账号密码和其他敏感凭证。

微软发言人本·霍普（Ben Hope）表示，公司在调查期间已临时下架这些代码仓库，目前其中一部分在完成审核后已经重新上线。这也是微软开源项目在近几周内公开披露的第二起安全问题。今年5月中旬，微软开源工具Durable Task也曾被黑客入侵，安全机构OpenSourceMalware认为，这次事件属于对该项目的“二次攻破”。

在AI大模型持续与开源生态深度结合的背景下，这起针对科技巨头代码仓库的入侵事件，再次为行业敲响了安全警报。随着AI编程助手的使用越来越普遍，开源供应链正成为网络攻防的重要战场。如何建立更稳固的代码审查和安全防护体系，已经成为AI时代各大科技公司共同面对的一项关键课题。