微软开源工具遭供应链攻击，开发者凭证泄露

近日，微软遭遇了一场针对其开源生态的供应链攻击，导致至少70个托管在GitHub上的开源项目被紧急切断访问权限。据安全机构披露，黑客通过将恶意软件注入代码的方式，旨在当开发者在Claude Code、Gemini CLI和VS Code等主流AI编码应用中打开这些被入侵的工具时，窃取其密码及敏感凭证。这一事件再次将开源供应链的安全问题推至聚光灯下。

微软发言人本·霍普（Ben Hope）证实，公司在调查期间暂时删除了相关存储库，目前部分代码库经审核已恢复。这已是微软开源项目在过去几周内遭遇的第二起已知安全漏洞事件。今年5月中旬，其开源工具Durable Task就曾遭黑客入侵，安全机构OpenSourceMalware指出此次事件是对该项目的“再次入侵”。这表明，即便是科技巨头，也难以完全规避开源生态中潜藏的风险。

在AI大模型与开源生态深度融合的当下，这起针对巨头资源库的入侵事件再次敲响了安全警钟。随着AI编码助手渗透率大幅提升，开发者越来越依赖开源组件和工具链来加速开发流程，但这也为攻击者提供了新的切入点。供应链攻击通过污染上游代码，能够在不直接攻击开发者本地环境的情况下，大规模窃取凭证、植入后门，其影响范围往往呈指数级扩散。

此次事件暴露了当前开源安全防护机制的脆弱性。一方面，开源项目的维护者通常资源有限，难以对所有贡献代码进行深度安全审查；另一方面，开发者在使用第三方库时往往缺乏足够的验证手段。对于微软这样的平台级企业而言，其开源项目被广泛集成于各类AI工具中，一旦出现漏洞，后果尤为严重。

业内专家指出，构建更具韧性的代码审查与安全防护机制是AI时代各科技巨头亟待解决的共性课题。这包括引入自动化安全扫描工具、建立更严格的代码签名与验证流程，以及推动开源社区建立更透明的安全响应机制。对于开发者个人而言，定期轮换凭证、启用多因素认证，并在使用第三方工具时保持警惕，也是降低风险的必要举措。

随着AI编码工具成为开发者日常工作的核心组成部分，开源供应链的安全防线必须同步升级。此次微软事件不仅是一次警示，更促使整个行业重新审视“信任但验证”的安全原则，在追求效率的同时，守住代码安全的底线。