定义 恶意软件通过感染代码注册表(如 PyPI 或 npm)中的包来自动传播,侵染整个 AI 开发生态系统,然后将自身插入 AI 编码助手和代理的配置文件中。一旦嵌入,它可以窃取凭证、后门 AI 工作流,并在没有人类干预的情况下复制到新目标。 影响分析AI 编码代理——开发人员每天用来编写和部署代码的工具——现已成为主要感染目标。单个被破坏的 AI SDK 包可能级联影响数千个开发人员环境,使攻击者能够持久访问专有代码、云凭证和生产部署管道。