科技巨头微软近期在GitHub平台上大规模下线其开源项目仓库,引发了软件开发社区的高度关注。据安全机构报告,此次事件涉及的风险代码被黑客植入,目的是窃取开发者用户的敏感信息。
安全公司Cloudsmith与OpenSourceMalware率先披露了这一情况,指出此次被攻击的微软开源项目主要与Azure云服务以及一系列AI开发工具紧密相关。受影响的组件涵盖了集成Claude Code、Gemini命令行界面以及VS Code等AI编程应用的辅助开发库,这些都是AI开发者日常工作中的常用工具。
攻击者通过向这些工具中注入恶意代码,实施了一种名为“软件供应链攻击”的手段。一旦开发者在本地环境中通过AI编码应用打开这些被篡改的工具,潜伏的恶意程序便会被激活,试图搜集并窃取用户的本地密码以及其他可能包含在内的敏感凭据,对开发者个人信息安全构成直接威胁。
为了应对这一安全威胁,微软方面已采取紧急措施,证实其暂时移除了至少70个相关的代码仓库,以便进行潜在恶意内容的排查与清除。目前,部分经过安全审核的项目已重新上线,而存在风险的项目仍处于禁用状态。微软已向可能受影响的小部分客户发送了安全警示通知。这已是微软在近期内第二次面临开源项目被黑客入侵的事件,再次凸显了当前AI开发生态面临的严峻安全挑战。
此次事件为AI开发工具的安全性敲响了警钟。这些工具通常直接与开发者本地环境交互,一旦被植入恶意代码,潜在的攻击面和危害性都相当大。开发者在使用此类开源工具时,不仅需要关注其功能性和易用性,更应将安全审计纳入重要考量,尤其是在涉及到代码集成和依赖管理时,应谨慎评估风险,以保护个人和团队的信息安全。