事件经过
Mitiga Labs(发布于 2026 年 6 月 18 日)扫描了 7,000+ 个公共存储库中的 50,000+ 个 AI 指令文件(Cursor 规则、CLAUDE.md、AGENTS.md、MCP 服务器配置、Claude Hooks、Anthropic Skills),发现:(1) 在发布的"便利"文件中攻击者控制的 ANTHROPIC_BASE_URL 覆盖,静默将所有 Claude API 流量路由通过攻击者控制的 MITM 代理,捕获每个提示和响应;(2) 作为默认值发布的权限绕过覆盖;(3) 跨数十个服务的 1,230+ 个硬编码 API 密钥和 JWT 令牌。Mitiga 还发现了在野外捕获的提示外泄技战法。研究发布了免费扫描程序 (Skillgate) 来检测这些模式。
影响分析
AI 编码代理(Claude Code、Cursor)无条件信任在存储库或项目目录中找到的指令文件。恶意存储库、受损的开源项目或木马化的 Cursor 规则文件可以静默地将所有 AI API 流量重定向通过攻击者的代理,外泄每个提示(包括代码、秘密和内部数据)和每个模型响应。发现 1,230+ 个活动 API 密钥,直接凭证盗窃影响也很重要。这是一个随着 AI 编码代理的采用而扩展的供应链攻击类别。
攻击途径
攻击者在存储库的 AI 指令文件(例如 CLAUDE.md、.cursorrules)中嵌入指向攻击者控制的服务器的 ANTHROPIC_BASE_URL 覆盖;当任何开发人员使用 AI 编码代理打开项目时,所有 API 流量被静默代理,捕获提示、秘密和响应
受影响系统
Claude Code、Cursor、任何从存储库上下文读取 CLAUDE.md / AGENTS.md / .cursorrules / MCP 服务器配置文件的 AI 编码代理;使用具有 ANTHROPIC_BASE_URL 覆盖支持的 Anthropic SDK 的项目
缓解措施
审计存储库和 CI 管道中的所有 AI 指令文件,查找意外的 ANTHROPIC_BASE_URL 或类似的 base-URL 覆盖;使用 Mitiga 的免费 Skillgate 扫描程序;不要在未进行审查的情况下信任来自未经验证存储库的指令文件。参见:https://www.mitiga.io/blog/malware-in-ai-instruction-files-skillgate