微软近日因安全事件暂时下线GitHub上至少70个开源项目。攻击者通过供应链攻击向代码中植入恶意程序,当开发者在Claude Code、Gemini CLI、VS Code等AI编码工具中调用相关项目时,可能被窃取密码及其他敏感凭证。微软发言人Ben Hope表示,公司已启动调查并移除受影响仓库,部分代码库在完成安全审查后已恢复访问。今年5月,其开源工具Durable Task也曾遭入侵。该事件再次凸显在AI开发工具与开源生态快速融合背景下,开源软件供应链正成为重要网络安全风险点。
微软近日因安全事件暂时下线GitHub上至少70个开源项目。攻击者通过供应链攻击向代码中植入恶意程序,当开发者在Claude Code、Gemini CLI、VS Code等AI编码工具中调用相关项目时,可能被窃取密码及其他敏感凭证。微软发言人Ben Hope表示,公司已启动调查并移除受影响仓库,部分代码库在完成安全审查后已恢复访问。今年5月,其开源工具Durable Task也曾遭入侵。该事件再次凸显在AI开发工具与开源生态快速融合背景下,开源软件供应链正成为重要网络安全风险点。