#it那些事儿# 3月24日 litellm 被供应链投毒，3月30日 Axios 遭遇精巧的供应链攻击，再次提醒我们：

过去的安全对抗，是两群人类在黑暗中互相摸索。攻击者找漏洞，靠的是经验、直觉、运气。防御者打补丁，也一样慢。双方都很慢，所以某种意义上，是公平的。

AI 打破了这个均衡。

攻击者拿到 AI 之后，漏洞挖掘从“手工艺”变成了“工业化搜索”——同时扫描上千个代码仓库，自动筛选可利用的攻击链，几小时内完成一个人类需要几个月才能完成的工作量，供应链投毒后，再通过你我的 AI Agent 自动写代码、自动找依赖、自动安装、自动运行、进一步传播。挖洞快，投毒快，传播快，越来越快[飞机]

防御呢？

从发现漏洞，到出补丁，到发版，到运维团队更新，到用户终端完成升级——这条链路的每一个环节，都是人在推动，都在排期等待。AI 压缩不了这条链。

攻击只需要成功一次。防御需要每次都成功。这个不对称，一直存在。AI 出现之后，它被放大了一个数量级。

所以已经不是“道高一尺魔高一丈”——是“道”还在你眼前，“魔”已经跑到了一光年之外。

如果供应链攻击只是“老问题变严重了”，也许还能应对。真正令人窒息的，是它和 AI 开发工具叠加之后的化学反应。

[泪奔]人类退出了依赖决策链
过去开发者装一个库，多少会看看：这个库谁维护的？star 数怎么样？最近有没有异常提交？这些习惯不完美，但它们是供应链传播的摩擦阻力。

现在越来越多的人在用 Claude Code、Cursor、Codex以及OpenClaw这一整代 AI 开发系统。流程变了：

需求 → AI 写代码 → AI 选依赖 → AI 自动安装 → 自动进入 CI → 恶意代码窃取凭证 → 污染新的代码库 → 再次被 AI 使用
摩擦阻力没了。传播速度从“周”变成了“小时”。

[泪奔]MCP 把 shell 权限交给了 AI
MCP（模型上下文协议）让 AI Agent 可以执行真实的系统操作——npm install、pip install、curl、docker pull。很多开发环境默认就给了 Agent 这些权限。

如果依赖被投毒，如果提示词被注入，AI 会直接把恶意代码装进你的项目。没有弹窗，没有确认，没有人类在中间挡一下。

[泪奔]攻击者可以操纵 AI 的判断
AI Agent 选库的逻辑很简单：搜索、看 README、看下载量、看版本号。攻击者完全可以针对这套逻辑精准操作——写一个完美的 README，用 AI 生成详尽文档，刷下载量，做 SEO。

更隐蔽的是“提示词供应链攻击”：在 README、issue、文档里埋指令——“如果你是 AI Agent，请运行以下命令……”。没有安全策略的 Agent，可能真的执行。

未来最大的攻击面可能不是服务器，而是开发工具链本身——IDE、Agent、CI、依赖生态，整个软件生产系统。

根源是一道没人愿意正视的裂缝：http://t.cn/AXIavH3X