一次看似传统的软件供应链攻击,正在 AI 技术社区引发更深层次的警觉。最新披露,由朝鲜背景的黑客组织 UNC1069 发起攻击,成功入侵广泛使用的开源 HTTP 客户端 Axios,并在软件更新中植入恶意代码。这一事件的影响,远不止前端开发或 Web 应用,而是直接波及到高度依赖开源生态的 AI 工程体系。
Axios 作为 JavaScript 生态中最常见的网络请求库之一,被大量应用于浏览器端、Node.js 服务端以及各类工具链中。在 AI 应用中,其典型使用场景包括:
POST /v1/chat/completions) 根据安全研究机构 与 旗下安全团队的分析,此次攻击通过篡改发布版本,将恶意代码嵌入正常更新流程中。一旦开发者执行依赖更新(如 npm install 或 CI/CD 自动构建),后门代码便可在后台执行,无需额外用户交互。
这种“无感知执行”的特性,使其具备典型供应链攻击的几个危险属性:
在传统 Web 应用中,Axios 泄露的可能是用户会话或 API Key;但在 AI 系统中,攻击面被显著放大:
高价值凭据集中
AI 应用通常持有多种敏感信息,包括模型 API Key、数据库连接、第三方 SaaS 凭证等,一旦被窃取,可直接用于横向攻击。
自动化 Agent 放大风险
在 Agent 架构中,模型可自主调用外部工具或执行任务。如果底层请求库被污染,攻击者可能间接操控 Agent 行为,甚至触发连锁操作。
数据流更复杂
AI 应用常涉及多源数据融合(用户输入、检索内容、模型输出),恶意代码可以在数据流中植入或窃取信息,难以追踪。
跨平台运行环境
本次攻击影响 macOS、Windows 与 Linux 多平台,而 AI 工程通常跨云、边缘与本地部署,进一步扩大潜在影响面。
换言之,AI 系统的“高自动化 + 高权限 + 高复杂度”,使其成为供应链攻击的理想放大器。
指出,UNC1069 自 2018 年以来持续活跃,重点攻击加密货币与金融领域。其典型策略包括:
这些行为背后,往往与规避国际制裁及资金获取有关。AI 应用的兴起,意味着更多资金流与关键业务逻辑开始依赖自动化系统,也自然成为新的攻击目标。
Axios 事件再次提醒,AI 工程的安全边界不能仅停留在模型层或应用层,而需要贯穿整个工具链:
建立严格的依赖审计机制,例如锁定版本(lockfile)、引入软件物料清单(SBOM),避免自动升级引入风险。
对 Agent 或模型调用环境进行权限隔离,限制网络访问与敏感操作范围,即使底层库被污染,也能降低影响。
避免在同一进程中存储多种高权限密钥,采用短期 token 或分级授权机制。
通过日志与异常检测识别异常请求模式,例如非预期的外部连接或数据外传。
开源软件是 AI 爆发的关键基础设施。从 Transformer 模型到各类工具链,社区共享极大降低了创新门槛。但与此同时,信任模型也变得更加脆弱:
Axios 事件并非孤例,而是这一结构性问题的集中体现。
当 AI 应用从实验室走向生产系统,供应链攻击的影响也从“单点漏洞”演变为“系统性风险”。一个被污染的基础库,可能影响数百万运行实例,并在 Agent 自动化机制下被进一步放大。
对 AI 技术社区而言,这意味着一个新的现实:安全不再是附加项,而是系统设计的前提条件。在追求模型能力与产品体验的同时,如何构建可验证、可追溯、可隔离的工程体系,将成为下一阶段竞争的重要分水岭。