AI 早报 0525：供应链遭 TrapDoor 突袭，微软谈 AI 成本，DeepSeek 大幅降价

📏 全文约 1750 字 | ⏱️ 阅读约 4 分钟 | 📅 统计截至 2026 年 5 月 25 日一场代号为「TrapDoor」的协同式供应链攻击，瞬间席卷了 npm、PyPI 及 Crates.io 这三大主流开源包仓库，共计波及 34 个恶意软件包。这并非寻常的代码注入事件——攻击者另辟蹊径，将矛头直指开发者日常依赖的 AI 编程助手。其攻击手段颇为老辣。黑客向热门开源项目提交 Pull Request，植入精心伪装的 CLAUDE.md 与.cursorrules 配置文件。这些文件虽非可执行程