廣告
xx
xx
回到網頁上方

微軟GitHub專案遭供應鏈攻擊 駭客鎖定Claude與Gemini開發者

記者 Yu Han Lei / 責任編輯 新聞中心 報導
發佈時間:2026/06/09 16:55
最後更新時間:2026/06/09 16:55
微軟開源專案遭駭,AI開發者密碼面臨竊取風險。(圖/達志影像路透社)
微軟開源專案遭駭,AI開發者密碼面臨竊取風險。(圖/達志影像路透社)

微軟(Microsoft)6月8日證實,旗下多個開源專案遭駭客植入惡意程式碼,公司已緊急下架超過70個GitHub儲存庫並展開調查。資安研究人員指出,這次攻擊主要鎖定使用Claude Code、Gemini CLI及Visual Studio Code(VS Code)等AI開發工具的工程師,受害者可能在不知情情況下洩露密碼、API金鑰及雲端存取憑證。

資安公司 Cloudsmith 與開源惡意軟體分析平台 OpenSourceMalware 是最早揭露此事件的機構之一。根據兩家資安機構的分析,惡意程式碼可在開發者以 AI 編程應用程式開啟受感染工具時,自動竊取使用者的密碼及其他敏感憑證。目前已有多少用戶下載過受感染程式碼,尚無確切數字。

 

微軟發言人Ben Hope向科技媒體 《TechCrunch》 表示,公司已「暫時下架部分儲存庫,以調查潛在惡意內容」。他補充說明,部分儲存庫在審查後已恢復上線,但其他儲存庫仍持續停用。Hope表示,微軟已主動通知少數可能下載過受影響內容的客戶。

資安研究人員指出,本次攻擊屬於「供應鏈攻擊」手法,駭客鎖定廣泛被開發者使用的開源專案作為入侵目標,再藉由正常更新流程散播惡意程式。由於 AI 開發者通常具備存取雲端系統與大量客戶資料的權限,因此成為高價值攻擊對象。

 
值得關注的是,這並非微軟近期首度遭遇此類事件。研究人員表示,5 月中旬,微軟旗下協助開發者建構應用程式的開源專案 Durable Task 已遭入侵。資安平台 OpenSourceMalware 指出,本次事件疑似為針對 Durable Task 的「再次入侵」,顯示微軟可能未能在首輪攻擊中徹底清除威脅,或駭客已改採更複雜的攻擊手段。

對於像微軟這樣擁有充足資源防禦網路攻擊的大型科技巨頭而言,開源專案接連遭駭實屬罕見。由於這已是微軟近數週內第二度傳出開源專案遭入侵事件,也讓外界質疑大型科技企業在快速擴張AI開發生態系之際,是否已建立足夠完善的開源軟體安全防護機制。
 


#雲端存取憑證#微軟#開源專案#駭客#惡意程式碼#GitHub#資安研究人員#AI開發工具#密碼#API金鑰

你可能會喜歡

人氣點閱榜

延伸閱讀

其他人都在看

notification icon
感謝您訂閱TVBS,跟上最HOT話題,掌握新聞脈動!

0.1137

0.0514

0.1651