Attack  ·  术语库

AI coding agent supply chain attack

一种攻击方式,其中攻击者将恶意指令或代码注入到AI编码助手会读取的资源中——例如README文件、软件包或MCP服务器响应——导致代理在开发者的机器上静默执行有害命令。由于这些代理以开发者的完整账户权限运行,克隆存储库中的一个被污染文件可以窃取凭证、安装后门或泄露源代码,而无需任何用户点击任何内容。研究(GuardFall、TrustFall)显示这对大多数流行的开源AI编码代理都有效。
使用AI编码助手的每个开发者都是进入企业基础设施的潜在入口点:一个受到威胁的包或存储库可能级联导致云凭证被盗、源代码被盗或在组织系统中横向移动。
MITRE ATLAS — ML Supply Chain Compromise
在实时动态中跟踪 了解这一概念在真实 AI 安全与治理事件中的体现。
打开动态 →