微软GitHub开源项目沦陷，AI编程工具成窃密重灾区

微软紧急下架70个GitHub项目，AI编程工具成了供应链攻击的新入口

6月9日，微软证实已封锁其托管在 GitHub 上的数十个开源项目，原因是这些仓库被黑客植入了窃取密码和账号凭证的恶意程序。打开这些项目页面，现在看到的是冷冰冰的一行提示："因违反 GitHub 服务条款，本仓库已被平台工作人员禁用"。

粗略统计，被停用的项目至少有 70 个。更扎眼的是受影响项目的分布——大多与微软云服务 Azure 相关，剩下的则集中在开发者用来构建 AI 应用的工具链上，包括 Claude Code、Gemini 的命令行界面（CLI），以及 VS Code 周边生态。换句话说，这次被黑掉的不是什么边缘冷门库，而是 2026 年开发者每天都要 npm install 或 pip install 一遍的东西。

事情是怎么被挖出来的

最早曝光这次入侵的，是安全服务商 Cloudsmith 和开源恶意软件分析社区 OpenSourceMalware。两家机构的描述基本一致：当用户在 AI 编程工具中运行被篡改过的程序时，恶意代码会在后台悄悄抓取系统中保存的密码、token、云服务凭证等敏感信息，回传到攻击者控制的服务器。

科技媒体 404 Media 率先把这件事捅了出去，微软随后承认下架仓库的事实。微软发言人 Ben Hopper 对 TechCrunch 的回应措辞很克制：

"为排查潜在恶意内容，我们已临时移除部分代码仓库。经核查，部分仓库现已恢复访问，其余仓库仍将保持下线状态，相关排查工作还在持续推进。"

他补充说，调查中已通知"少数曾下载问题仓库内容的用户"，但当被追问受影响用户的具体数量时，微软没给答复。这种回应风格大家都很熟悉了——大概率不是几个，而是不想说。

为什么这次特别值得警惕：AI 编程工具的供应链特殊性

供应链攻击不是新鲜词。过去几年从 event-stream、ua-parser-js 到 PyPI 上各种被劫持的依赖包，每隔几个月就要来一轮。但这次黑客挑的目标，反映了攻击者对开发者生态的认知正在升级。

回想一下 AI 编程工具的典型使用场景：

• 它们普遍需要访问本地文件系统，读你的代码、配置、.env 文件
• 它们需要保存 API Key 才能调用模型，意味着本地必有一份明文或弱加密的密钥存储
• 它们经常以 agent 形式运行，被授权执行 shell 命令
• 开发者使用它们时，往往已经 sudo 过、已经登录过 cloud CLI、已经 git config --global 过自己的邮箱和 token

这是一个完美的攻击面。一旦一个 CLI 工具被植入恶意代码，等于黑客同时拿到了：开发者的 GitHub token、云厂商凭证、模型 API Key、可能还有数据库连接串。比 2018 年那种偷比特币钱包的脚本要值钱得多。

OpenSourceMalware 在分析中特别指出，本次曝光的不少恶意 payload 是经过混淆的 Python/Node 脚本，伪装成日志上报或遥测功能，对普通开发者而言几乎肉眼难辨。

这已经是微软仓库一个月内第二次失守

更尴尬的是时间线。5 月中旬，安全研究人员就发现微软面向开发者的 Durable Task 开源项目遭到攻击。OpenSourceMalware 明确表示，本次事件中 Durable Task 是"二次沦陷"——这意味着微软上一次处置时，没有把后门彻底清干净，或者攻击者保留了某种持续访问的手段。

再往前推一周，华尔街见闻在 5 月下旬披露了另一个更劲爆的数字：GitHub 内部约 3800 个代码仓库遭到入侵，起因是一名员工在 VS Code 里安装了一个带毒插件。攻击者甚至在地下论坛挂出 5 万美元的源码报价。

把这三件事串起来看：

| 时间 | 事件 | 入口 | |---|---|---| | 2026年5月中旬 | Durable Task 项目首次被植入恶意代码 | 未公开 | | 2026年5月下旬 | GitHub 3800 个内部仓库数据被盗 | 员工安装恶意 VS Code 插件 | | 2026年6月初 | 70+ 开源仓库被植入窃密程序，Durable Task 二次沦陷 | 调查中 |

这不是孤立事件，而是一条清晰的攻击链：黑客先通过插件等手段进入微软员工的开发环境，再借此污染微软维护的官方开源项目，最后通过供应链辐射到所有下载这些项目的开发者。微软接手 GitHub 第 8 个年头，平台的信任根基正在被反复敲打。

开发者现在该做什么

对于读这篇文章的开发者来说，与其等微软的官方通告，不如先自查一遍：

1. 检查最近 30 天的依赖更新记录。如果你的项目里用了 azure-*、Claude Code CLI、gemini-cli 相关 SDK，先看一眼 lockfile 里的版本和发布日期。
2. 轮换密钥。GitHub Personal Access Token、云厂商 Access Key、模型 API Key，能转的都转一遍，尤其是范围设置为 * 的那种。
3. 审计 VS Code 插件。这是过去半年所有供应链事件里最被低估的入口。把不常用的、几个月没更新的、安装量低于一定阈值的全部禁用。
4. 隔离 AI Agent 的执行环境。能跑在容器或 devcontainer 里就别裸跑，能用只读 token 就别给写权限。
5. 关注 OpenSourceMalware 的公开 IOC 列表，把已知的恶意域名加进出口防火墙。

关于第 2 条多说一句：很多开发者把模型 API Key 直接写在 ~/.zshrc 或者项目根目录的 .env 文件里，恶意脚本只要 cat 一下就能拿走。这一波过后，建议至少用 keychain、pass 或者云厂商的 secret manager 兜底。

AI 编程工具的繁荣，对应的是新攻击面的扩张

回过头看，2025 到 2026 年是 AI 编程工具真正进入主流的两年。Claude Code、Gemini CLI、Cursor、Windsurf 这一类工具的安装量增长曲线，几乎和黑产对它们的关注度同步抬升。

这次事件给整个行业敲了一记响钟：当一个 CLI 工具同时握有"读取所有源代码"和"执行任意命令"两项权力时，它的供应链安全等级应该按金融基础设施的标准来。但现实是，多数 AI 工具的发布流程还停留在"npm publish 完发个推文"的阶段。

微软的 70 个项目下架只是开始。可以预见，接下来几周里还会有更多类似事件被曝光——不是因为攻击突然变多了，而是因为大家终于开始认真看 supply chain 这一栏了。

写在最后

微软作为业内安防能力最顶配的几家厂商之一，自家维护的开源项目在一个月内被攻破两次，这件事本身就是给所有依赖 GitHub 生态的开发者上的一课。开源不等于安全审计，托管在大厂账号下也不等于免疫供应链攻击。

眼下能做的，是少一点对默认信任的依赖，多一点对每次 install 的警惕。AI 帮你写代码的同时，请确保它写的代码不是别人写好等你来跑的。

参考来源

• 微软 GitHub 数十个开源项目遭黑客入侵，被植入窃取密码的恶意程序 - IT之家：本次事件的中文首发报道，包含微软发言人的完整回应