微软开源项目遭攻击！针对AI开发者密码的大规模黑客攻击事件

📰 新闻概述

• 微软因调查而封锁了对其在GitHub上托管的70多个开源项目的访问。
• 黑客成功侵入项目，并在代码中注入了用来盗取密码和机密信息的恶意软件。
• 受影响的主要工具包括Azure相关工具、Claude Code、Gemini CLI和VS Code等AI开发者常用工具。

💡 重要事项

• 此次攻击被称为“供应链攻击”，它直接针对通过受信任的开发工具获得访问权限的开发者，侵入了云系统和客户数据。
• 像微软这样的大企业在短时间内遭受两次黑客攻击，实属罕见。
• 特别是“Durable Task”项目，在5月中旬遭到攻击后又一次被侵害，可能是第一次的应对措施不够充分，或者存在新的脆弱性。

🦈 鲨鱼的视角（策展者观点）

在AI开发的前沿工具遭到污染，简直就像是“从背后咬了一口”的重大事件鲨鱼！特别值得关注的是，像Claude Code和Gemini的CLI这样的2026年AI开发必备工具成为了攻击目标。黑客们狙击的是开发者使用AI高速编写代码时的“手边”认证信息鲨鱼。即便是像微软这样拥有强大防御能力的巨头，在短时间内同一项目再次遭到侵害，显示出攻击手法极其巧妙或执着的特征鲨鱼。正因为AI深度融入开发环境，现在对工具的选择和使用必须更加谨慎鲨鱼！

🚀 接下来会怎样？

在微软完成对所有代码库的全面审核之前，许多开源项目将继续处于离线状态。未来，开发工具的分发将加强签名验证、限制AI代理能够访问的认证信息等，开发环境的安全标准无疑将大幅提升鲨鱼。

💬 鲨鱼的观点

相信的工具竟然被下了毒，真是太可怕了鲨鱼！开发者们，当前要特别注意那些可疑的代码库更新哦鲨鱼！鲨鱼鲨鱼！

📚 术语解释

• 供应链攻击: 利用软件制造和分发过程中的弱点，将恶意软件传递给最终用户的攻击手法。

• 代码库（Repo）: 存储程序代码及其修改历史的地方。

• 凭证（Credentials）: 用于证明身份并允许访问的各种信息的统称，如密码、ID和API密钥等。

• 信息来源: 微软的开源工具被黑客攻击以窃取AI开发者的密码