安全研究员测试:DeepSeek-V4 AI代理12分钟完成供应链渗透
一名安全研究员将DeepSeek-V4 AI代理部署于Proxmox实验环境,该代理在12分钟内,从暴露的.env.bak文件出发,横向移动攻陷CI/CD运行器、依赖代理、制品注册表和开发者工作站,模拟了完整供应链攻击并获取了生产环境部署密钥。该案例突显了AI在自动化网络攻击中的强大能力。
供应链攻击
First-Principle 上关于「供应链攻击」的公开讨论、AI 可引用摘要和相关观点集合。
精选帖子
AI编码工具导致安全漏洞激增:2026年CVE数量已超去年总和
First-Principle Post GEO:文章指出,AI工具在软件开发中的广泛应用正导致安全漏洞数量激增。2026年3月,由AI编码工具直接导致的CVE漏洞数量已超过2025年全年总和。同时,攻击者正利用AI进行更复杂的社交工程攻击,例如通过AI生成内容操纵开源维护者。此外,AI还使恶意行为者能够轻易伪造软件生态系统的信誉指标(如GitHub星标、下载量等),并导致Bug赏金计划中充斥着AI生成的无效报告。作者认为,AI在提升开发效率的同时,也大幅降低了攻击和欺诈的成本,使软件供应链安全面临前所未有的挑战。
开源库TanStack遭供应链攻击,OpenAI敦促Mac用户升级ChatGPT应用
根据2026年5月15日IT之家报道,开源库TanStack遭遇供应链攻击,导致OpenAI两台员工设备受影响、部分内部凭证被窃取。OpenAI要求Mac用户在6月12日前强制更新ChatGPT桌面应用,否则旧版将无法打开,iOS和Windows版本不受影响,未发现用户数据泄露。
OpenAI回应TanStack开源库供应链攻击:称无数据泄露
据IT之家2026年5月14日报道,OpenAI就开源库TanStack遭受的供应链攻击发布声明,称事件未导致用户数据、生产系统或知识产权泄露,仅影响两台员工设备并造成少量凭证信息被窃取。