微軟(Microsoft)6月8日證實,旗下多個開源專案遭駭客植入惡意程式碼,公司已緊急下架超過70個GitHub儲存庫並展開調查。資安研究人員指出,這次攻擊主要鎖定使用Claude Code、Gemini CLI及Visual Studio Code(VS Code)等AI開發工具的工程師,受害者可能在不知情情況下洩露密碼、API金鑰及雲端存取憑證。
資安公司 Cloudsmith 與開源惡意軟體分析平台 OpenSourceMalware 是最早揭露此事件的機構之一。根據兩家資安機構的分析,惡意程式碼可在開發者以 AI 編程應用程式開啟受感染工具時,自動竊取使用者的密碼及其他敏感憑證。目前已有多少用戶下載過受感染程式碼,尚無確切數字。
微軟發言人Ben Hope向科技媒體 《TechCrunch》 表示,公司已「暫時下架部分儲存庫,以調查潛在惡意內容」。他補充說明,部分儲存庫在審查後已恢復上線,但其他儲存庫仍持續停用。Hope表示,微軟已主動通知少數可能下載過受影響內容的客戶。
資安研究人員指出,本次攻擊屬於「供應鏈攻擊」手法,駭客鎖定廣泛被開發者使用的開源專案作為入侵目標,再藉由正常更新流程散播惡意程式。由於 AI 開發者通常具備存取雲端系統與大量客戶資料的權限,因此成為高價值攻擊對象。
對於像微軟這樣擁有充足資源防禦網路攻擊的大型科技巨頭而言,開源專案接連遭駭實屬罕見。由於這已是微軟近數週內第二度傳出開源專案遭入侵事件,也讓外界質疑大型科技企業在快速擴張AI開發生態系之際,是否已建立足夠完善的開源軟體安全防護機制。






