AI 早报 0525:供应链遭 TrapDoor 突袭,微软谈 AI 成本,DeepSeek 大幅降价
📏 全文约 1750 字 | ⏱️ 阅读约 4 分钟 | 📅 统计截至 2026 年 5 月 25 日一场代号为「TrapDoor」的协同式供应链攻击,瞬间席卷了 npm、PyPI 及 Crates.io 这三大主流开源包仓库,共计波及 34 个恶意软件包。这并非寻常的代码注入事件——攻击者另辟蹊径,将矛头直指开发者日常依赖的 AI 编程助手。其攻击手段颇为老辣。黑客向热门开源项目提交 Pull Request,植入精心伪装的 CLAUDE.md 与.cursorrules 配置文件。这些文件虽非可执行程
人工智能防御网络威胁的新纪元
当Anthropic公司最近披露一起网络间谍活动时,该活动利用人工智能在很大程度上自主执行攻击,媒体报道将其描绘成一种全新的、不可控的威胁。然而,这起事件最引人注目之处并非攻击者利用人工智能提升了自动化程度和攻击速度,这其实在预料之中。真正值得关注的是,Anthropic公司利用人工智能检测并阻止了这次活动。在此次事件中,攻击者的速度更快,但这种状况必须改变。网络安全正演变为攻击者与目标所使用的人工智能系统之间的一场较量。决定胜负的关键因素在于哪一方拥有更丰富的数据、更优秀的模型,并且能够以机器速度采取行
AI路由成攻击入口,恶意代码注入与数据窃取的隐患
随着智能体逐步接管代码运行、云资源管控、金融操作等高风险工作,其背后离不开LLM API路由这一中间服务的支撑。该服务充当"连接器",把智能体的请求转接至OpenAI、Anthropic、Google等模型提供商,是智能体稳定运行的关键组件。加州圣塔芭芭拉分校的科研团队,在最新论文《你的Agent正被劫持:LLM供应链中的恶意中介攻击测量》中揭示:这些LLM API路由实质上是缺乏保护的危险信任区域。LLM API路由架设在智能体客户端与上游供应商之间,作为应用层代理运作,可完整读取传输中的所有JSON明
Axios npm包遭恶意篡改引发安全警报
一次针对npm生态的供应链攻击,通过发布恶意版本的Axios库,成功植入远程控制木马,导致微软旗下GitHub托管的多个项目紧急启动安全防护机制。 责任编辑:张俊 SF065 新浪财经声明:此消息系转载自合作媒体,新浪财经登载此文出于传递更多信息之目的,文章内容仅供参考,不构成投资建议。 郑重声明:1.根据《证券法》规定,禁止编造、传播虚假信息或者误导性信息,扰乱证券市场;2.用户在本社区发表的所有资料、言论等仅代表个人观点,与本网站立场无关,不对您构成任何投资建议。用户应基于自己的独立判断,自行决定证券