微软软件包被植入凭证窃取器，目标锁定AI智能体

安全研究人员发现了一波新的恶意微软软件包，其中植入了专门针对AI智能体的凭证窃取恶意软件。这是最近几周内发生的第二起此类事件，引发了对AI软件供应链安全的严重担忧。 这73个恶意软件包一旦被AI编码助手或自动化工作流下载并执行，就会部署一个自我复制的窃取器，立即从主机系统中窃取敏感凭证。这种攻击向量利用了日益依赖AI工具自动获取并运行代码包而无需手动验证的趋势。 这种类型的攻击尤其危险，因为AI智能体通常以提升的权限运行，并且可以快速执行命令，在传统安全措施做出反应之前将恶意软件传播到连接的系统中。窃取器的自我复制特性意味着它可以传播到其他机器和账户，从而放大损害。 微软尚未就移除这些软件包发布官方声明，但强烈建议用户在允许AI智能体执行任何软件包之前验证其完整性。最佳实践包括检查软件包签名、尽可能审查源代码，以及为自动化工作流使用沙盒环境。 这一事件凸显了现代开发生态系统中的一个关键漏洞：随着AI智能体变得更加自主，它们也成为复杂网络攻击的主要目标。开发者和组织应实施严格的安全策略，包括软件包白名单和行为监控，以防范这些新兴威胁。AI供应链的安全性取决于其最薄弱的环节，这次攻击是一个严峻的提醒：保持警惕至关重要。