《VentureBeat》報導指出,過去 50 天內 AI 產業接連發生 4 起供應鏈安全事件,涉及 OpenAI、Anthropic、Meta 等科技巨頭,顯示資安風險正從模型本身,快速轉向軟體發布流程與 CI/CD 基礎設施等底層環節。
從 OpenAI Codex 的指令注入漏洞、Anthropic Claude Code 的 source map 封裝失誤,到 LiteLLM 在 PyPI 遭投毒、TanStack npm 套件被 Mini Shai-Hulud 蠕蟲劫持,四起事件共同指向一個問題:AI 產業的紅隊測試與安全評估仍多集中在模型層,較少檢查發布流程、依賴套件、CI runner 與 registry publish gate。
新攻擊核心:供應鏈風險從單一企業擴散至開源生態
當中最受關注的,是 5 月爆發的 Mini Shai-Hulud 蠕蟲事件。攻擊者利用 GitHub Actions 工作流程設定漏洞、快取污染與 OIDC token 竊取,在短短 6 分鐘內向 42 個 TanStack 生態系的 npm 套件發布 84 個惡意版本。這些套件全部帶有合法的 SLSA Build Level 3 驗證,代表它們是經由官方發布流程產出。換言之,供應鏈信任機制本身並沒有被「破解」,而是被合法流程「利用」。
事件發生兩天後,OpenAI 也證實有兩台員工設備遭入侵,導致內部程式碼儲存庫的憑證資料外洩。當時公司剛於 5 月 10 日推出 Daybreak 資安計畫,主打以 GPT-5.5 與 GPT-5.5-Cyber 協助授權紅隊測試、滲透測試與漏洞發掘。然而隔天 TanStack 蠕蟲便擴散並影響相關設備,凸顯模型本身的資安能力與實際發布管線的安全性,是不同層面風險問題。
隨後,OpenAI 啟動軟體簽章憑證輪替,涵蓋 ChatGPT Desktop、Codex App、Codex CLI 與 Atlas;macOS 用戶則必須在 2026 年 6 月 12 日前完成更新,舊憑證屆時將被撤銷。OpenAI 表示,先前已因供應鏈事件強化 CI/CD 基礎設施,但遭入侵的設備尚未完成新版部署。《Dig.Watch》指出,此事件顯示供應鏈攻擊正擴散至開源與 CI/CD 環節,並逐漸成為科技業的新風險核心。
AI 供應鏈攻擊波及數據供應商,科技巨頭訓練方法相關資料外流
除了 OpenAI 外,Anthropic 也在 3 月出現重大發布失誤。該公司將 Claude Code 發布至 npm 時,意外附帶一份大型 source map(原始碼對照檔)檔案,導致超過 51 萬行 TypeScript 原始碼、系統提示詞、多代理架構與內部功能開關對外公開下載。Anthropic 事後坦承,問題源自 .npmignore(npm 套件發布時的排除清單檔)中遺漏一行設定,屬於人為封裝錯誤。《VentureBeat》指出,真正的問題在於發布流程缺乏最後一道人工檢查機制。
另一波衝擊則來自 LiteLLM 套件污染事件,駭客組織 TeamPCP 利用先前竊取的資安工具憑證,向 PyPI 上傳遭植入惡意程式的 LiteLLM 套件。雖然套件僅存在約 40 分鐘,但期間已被下載近 4.7 萬次。攻擊後續更波及 AI 數據公司 Mercor。該公司向 Meta、OpenAI 與 Anthropic 提供訓練資料,事件導致約 4TB 數據遭外洩,包含 Meta 內部訓練方法相關資料,Meta 隨後也暫停與 Mercor 的合作。
像 Mini Shai-Hulud 這類新型供應鏈蠕蟲,已不再只是竊取 CI secrets,而是會主動搜尋 AI 開發工具與代理系統中的 API key、MCP server 設定、雲端 token,甚至密碼管理器資料。對大量使用 AI coding agent 的開發團隊而言,新的攻擊面早已形成。
《VentureBeat》補充,未來 AI 安全問題的重點,不再只是模型是否會產生危險內容,而是整條 AI 軟體供應鏈是否足夠可信。企業在審查 AI 供應商時,應納入一項關鍵問題:是否曾對發布流程進行紅隊測試,涵蓋 CI runner 信任邊界、OIDC token 權限範圍、依賴套件生命周期掛鉤與套件發布審核機制,並要求提供最近一次測試的時間與範圍。
*本文開放合作夥伴轉載,資料來源:《VentureBeat》、《Dig.Watch》,圖片來源:Unsplash。
