微软数十个开源 AI 工具遭供应链攻击，大量开发者凭证被窃

微软因遭遇黑客的供应链攻击，紧急切断了 GitHub 上至少 70 个开源项目的访问权限，黑客旨在通过 AI 编码应用窃取用户密码及敏感凭证。公司调查期间暂时删除相关存储库，部分经审核已恢复。这是微软开源项目过去几周内第二起已知安全漏洞事件，此前 5 月中旬开源工具 Durable Task 曾遭入侵，此次被指是对该项目的再次入侵。AI 大模型与开源生态深度融合背景下，开源供应链已成网络攻防新主战场，构建更具韧性的代码审查与安全防护机制是 AI 时代科技巨头亟待解决的共性课题。