来源:VentureBeat / The Hacker News(2026年5月13日)
2026年3月至5月初,OpenAI、Anthropic和Meta在50天内相继遭遇四次供应链安全事件——三次为对手驱动的攻击,一次为自引致的打包失误。这些事件无一以模型本身为目标,而是精准指向了AI企业在发布流程、依赖注入、CI运行器和打包门禁上的系统性盲区。
四大事件回顾
3月,LiteLLM(广泛使用的开源LLM代理网关)PyPI包遭投毒,约40分钟内获得近47,000次下载,攻击随后横向突破至Mercor——一家为Meta、OpenAI和Anthropic提供训练数据、估值达100亿美元的AI数据初创企业,导致4TB专有数据泄露,Meta无限期冻结合作并引发集体诉讼。同一时期,OpenAI Codex被发现存在命令注入漏洞,攻击者可利用GitHub分支名称注入代码并获取用户OAuth令牌。3月31日,Anthropic Claude Code v2.1.88在npm发布时夹带了59.8MB的源代码映射文件,暴露了513,000行未混淆的TypeScript代码、44个功能开关和智能体编排架构。5月11日,名为Mini Shai-Hulud的自传播蠕虫通过TanStack的release.yml配置漏洞,在六分钟内发布了84个恶意包版本。
共性发现:模型红队无法覆盖发布流水线
上述事件指向一个核心结论:当前AI企业的安全评估框架——无论是系统卡片、AISI评估还是灰天鹅红队演练——均未将发布流水线纳入审计范围。攻击者正在绕过模型本身,转而攻击构建、测试和发布环节的信任链条。
趋势判断
随着AI开源生态的规模化,供应链攻击正在从”诱饵钓鱼”向”信任链劫持”演进。这意味着企业AI采购评估将必须引入软件工程安全标准,而不仅仅是模型能力评估。AI供应商问卷或将新增发布流水线安全的强制要求。
