安全研究员披露,一名开发者利用Anthropic旗下大模型Claude生成恶意代码,在短时间内向npm仓库上传超过670个受污染软件包,针对开发者实施供应链攻击。这些包内嵌脚本可窃取npm及GitHub令牌,并获取私有代码后回传至攻击者控制的仓库。事件显示,生成式AI显著降低恶意代码开发门槛并提升自动化水平,传统基于特征的防御机制面临挑战,AI滥用带来的安全治理问题进一步凸显。
安全研究员披露,一名开发者利用Anthropic旗下大模型Claude生成恶意代码,在短时间内向npm仓库上传超过670个受污染软件包,针对开发者实施供应链攻击。这些包内嵌脚本可窃取npm及GitHub令牌,并获取私有代码后回传至攻击者控制的仓库。事件显示,生成式AI显著降低恶意代码开发门槛并提升自动化水平,传统基于特征的防御机制面临挑战,AI滥用带来的安全治理问题进一步凸显。