微软开源项目突遭黑客入侵，多款AI开发工具被植入密码窃取软件

这可不是什么小打小闹。微软在GitHub上的数十个开源项目仓库，最近突然紧急下线，背后原因让人倒吸一口凉气——黑客成功入侵了这些项目，并悄悄注入了专门窃取用户密码的病毒代码。整个开发者圈瞬间炸了锅。

精准打击AI开发者

最先嗅到异常的是安全公司Cloudsmith和恶意软件分析网站OpenSourceMalware。相关报告指出，受害项目高度集中——主要围绕微软Azure云服务，以及一系列当下最热门的AI开发工具。具体包括集成Claude Code、Gemini命令行界面、VS Code等AI编码应用的关联组件。

这可不是一次随意的攻击。黑客在这些工具里植入恶意代码，打的是“软件供应链攻击”的精准牌。一旦开发者在本地通过AI编码应用打开这些被篡改的工具，恶意程序就会悄无声息地运行起来——目标只有一个：窃取本地密码和其他敏感凭据。说白了，就是冲着AI开发者这个群体来的。

紧急下线排查隐患

微软发言人随后证实了这一情况。出于安全保护的需要，公司在调查潜在恶意内容的过程中，已暂时移除了至少70个相关代码仓库。目前，部分仓库在安全复核后重新上线，另一些存在风险的仍保持禁用状态。

内部调查期间，微软向一小部分可能拉取过受影响内容的客户发出了安全通知。必须承认，微软的安全资源和防护能力在业内是顶尖的。但即便如此，这已经是近几周内微软第二次被曝出开源项目遭黑客渗透了。一个残酷的现实摆在眼前：当前的AI开发生态，正面临前所未有的安全拷问。