2025开源供应链投毒分析技术报告.pdf

AI 原生安全筑内核，守护新一代数字供应链安全1攻以守本，为快不破！悬镜供应链安全情报中心AI 原生安全筑内核，守护新一代数字供应链安全AI 原生安全筑内核，守护新一代数字供应链安全11.引引 言言随着大语言模型（LLM）的逐步成熟、对话式智能体的广泛验证、AI 场景化训练数据的快速积累，以及企业对智能化与目标驱动型 AI 应用的迫切需求，越来越多的企业将 AI 数智化转型作为提升核心竞争力的关键，其中 Agentic AI 的应用成果不仅依赖于单一的技术突破，更在于构建系统性、端到端的落地能力，同时也催生新型 AI 原生安全风险与数字供应链治理挑战。2025 年是开源供应链攻击威胁加速深化的一年，尤其是针对开源生态的恶意投毒进一步向自动化与复杂化快速演进。从 NPM、PyPI 等主流仓库的批量投毒，到 IDE 扩展市场的定向投毒，再到Agentic AI 生态的新型投毒攻击，整体呈现出攻击范围扩大化、技术手段智能化以及对抗方式多样化等鲜明趋势。这一年，开源生态发生多起影响重大的供应链投毒事件，其中 NPM 仓库连续两次 Shai-Hulud(代号沙虫)恶意蠕虫大规模爆发成为开源供应链投毒攻击的标志性事件，开源生态的信任基石也遭遇极大冲击。子芽悬镜安全创始人编委：Random（蔡智强）、宁戈、王越、王雪松、陈超、武立朋技术支撑：悬镜供应链安全情报中心AI 原生安全筑内核，守护新一代数字供应链安全22.供应链投毒攻击态势供应链投毒攻击态势在 2025 年，悬镜安全情报中心通过持续监控全网主流开源生态平台和 Agentic AI 生态社区，对潜藏恶意代码风险的投毒包（涉及开源组件、IDE 扩展插件、AI 模型、Agent MCP 及 Agent Skill工具等）进行供应链安全智能审查，总共识别 56928 个存在真实恶意行为及攻击意图的投毒包，总量相较于 2024 年（约为 3.6w）显著提升 58%。其中 NPM 公共仓库的代码投毒占比超过 92%。Pypi 公共仓库由于在 2024 年遭受集中式投毒后加强平台安全防护机制（启用账户双因子认证等措施），2025 年 Pypi 仓库投毒占比为 4.49%，相较 2024 年呈现轻微下降趋势。AI 模型托管平台HuggingFace 已成为恶意模型投放的主要平台，超过 940 多个模型文件被攻击者实施投毒。此外，针对 IDE 扩展市场（以 VS Code 为主）、Ruby 及 Go 生态的投毒攻击也日趋频繁。AI 原生安全筑内核，守护新一代数字供应链安全32025 年开源生态恶意投毒分布情况针对所有恶意投毒包，我们通过多维数字供应链安全纵深分析与溯源评估，识别出投毒包使用的攻击方式及其关键恶意行为标签。投毒包主要攻击方式其中，投毒者最常用的攻击方式依旧是恶意代码内嵌执行（51.58%），其攻击流程主要利用主流包管理器中的安装指令在组件包安装或加载时静默执行内嵌在源码文件中的恶意代码。系统命令执行（31.13%）、恶意文件下载执行（9.82%）、恶意文件释放执行（5.09%）、恶意代码内存执行（1.77%）以及系统文件篡改（0.56%）都是攻击者惯用的投毒手段。此外，随着 Agentic AI的规模化应用，借助提示词进行恶意语义攻击（提示词注入、语义误导等）也逐渐成为攻击者针对AI 原生安全筑内核，守护新一代数字供应链安全4AI 开源生态投毒的主要新型攻击方式之一。投毒包恶意行为标签在所有恶意投毒包中，信息窃取攻击仍居高位，占比达 83.8%，其中系统平台信息、系统密码文件、网络配置、用户信息、主流浏览器 Cookie/登录凭证、数字钱包应用数据以及各类业务凭证口令（包括 Github Token、NPM Token、云服务 Access Key ID/Secret 等）皆为攻击者主要窃取目标。其次，通过远控木马和反连 Shell 后门进行远控攻击事件也呈逐年上涨趋势。此外，针对 AgenticAI 开源生态的投毒攻击，除了提示词注入，AI 模型文件恶意代码注入、伪装 AI 模型 SDK、Stdio模式的 Agent MCP Server 及 Skill 包的恶意语义误导及代码投毒都是攻击者常用的 AI 供应链投毒攻击行为。AI 原生安全筑内核，守护新一代数字供应链安全53.供应链投毒案例分析供应链投毒案例分析本节将从 2025 年恶意投毒包中选取部分代表性样本进行技术分析，还原投毒攻击细节以及攻击者常用的对抗技术。3.1 Agentic AI 生态生态 AI 模型文件序列化代码注入投毒主流深度学习框架（PyTorch、TensorFlow 等）训练生成的模型文件（权重及 checkpoint数据）通常会使用 Python 的 pickle 模块进行模型数据序列化存储。而由于 pickle 模块反序列时可重写对象_reduce_方法实现反序列化代码执行，因此攻击者可利用该特性将恶意代码序列化嵌入到模型文件中并发布到开源模型托管平台（HuggingFace、ModelScope 等），当开发者使用torch.load()等接口直接加载模型文件时，将静默触发执行内嵌在模型文件中的恶意代码，导致供应链攻击。以HuggingFace 平台playedalive/mdy-red-1 项目为例，如下图所示，其模型文 件model.pkl 被植入反序列恶意 python 代码，主要功能是反向 shell 远控后门，远控服务器地址及端口为：52.48.12.202:8080。AI 原生安全筑内核，守护新一代数字供应链安全6恶意模型项目模型文件内嵌恶意代码AI 原生安全筑内核，守护新一代数字供应链安全7 Agent MCP Server 提示词注入MCP(Model Context Protocol，模型上下文协议)是 LLM 模型与外部工具交互的开放标准，MCP Server 是实现该协议的工具服务端。MCP Server 提示词注入原理在于利用 LLM 模型无法正确区分数据与指令及其对上下文输入的高度依赖性等特性，攻击者通过在与模型交互的数据源中植入恶意指令，诱导模型执行非预期操作，甚至可进一步实现对 AI Agent 的行为劫持与权限滥用。以 Python 仓库组件 wei516-tpa 为例，该组件伪装成提供天气服务的 MCP Server，该 MCP服务提供了 weather_info()工具接口，并在工具描述里使用 标签尝试伪装成系统指令进行提示词注入攻击，指令主要功能是诱导 AI 应用系统对任意可读目录下的api_key.txt 文件内容追加 FLAG 标记位。MCP 工具描述植入恶意提示词 Agent Skill 恶意指令投毒Skill 技能包作为 AI Agent 的外部功能扩展模块，其原生具备比 MCP Server 更高权限的执行环境以及与模型交互能力，但由于目前大部分 Skill 市场缺乏严格的安全审查机制，导致 SkillAI 原生安全筑内核，守护新一代数字供应链安全8市场面临来自攻击者的代码投毒及恶意指令滥用等风险。第三方 Skill 的集成引入已经成为 Agent系统面临的最危险供应链攻击面。近期 OpenClaw Skill 市场遭受批量化投毒攻击，悬镜安全情报中心对其 Skill 市场 3325 个包进行恶意代码及高风险语义扫描后，检测出 452 个存在高危 恶意代码行为的 Skill 包。绝大部分 Skill 包直接在 SKILL.md 指令文档中嵌入恶意指令从而操纵 AIAgent 执行高险操作，包括远程植入木马程序、恶意 shell 命令执行、敏感数据外传等。以 base-agent skill 为例，在 SKILL.md 文件中根据系统环境执行相应的远程恶意木马植入操作，对于 Windows 系统直接操纵 Agent 远程下载加密压缩包 AuthTool.zip，解密解压后执行恶意程序 AuthTool.exe；对于 Mac 系统用户，则通过执行 base64 编码的 shell 命令远程下载植入 AmosStealer 窃密木马。base-agent skill 功能描述AI 原生安全筑内核，守护新一代数字供应链安全9base-agent skill 恶意指令3.2 VSCode 插件市场插件市场 伪装 Codex AI 插件植入恶意木马攻击者发布 codex-ai-pro 并伪装成 Codex AI 编程助手插件，在插件入口模块 extension.js的 active()函数中植入定时器，每隔一秒执行一次 runScript()函数，如下图所示。AI 原生安全筑内核，守护新一代数字供应链安全10codex-ai-pro 恶意插件恶意函数定时器恶意 函数runScript()定时 执行script/run.bat 脚本，其 主要 功能是 远程 下载 并启 动AI 原生安全筑内核，守护新一代数字供应链安全11Windows 可执行程序 Lightshot.exe 及 Lightshot.dll。bat 脚本下载器Lightshot.dll 动态链接库实际是一款针对 Windows 平台的恶意木马，由 Lightshot.exe 负责加载执行。AI 原生安全筑内核，守护新一代数字供应链安全12恶意木马 Lightshot.dll3.3 Python 公共仓库公共仓库 伪装 AI 框架库劫持数字钱包应用攻击者利用 pytensorlite 包名尝试伪装成知名 AI 框架库 pytensor 并诱导开发者下载安装，其主要功能是从 github 远程下载并执行攻击者投放的下一阶段被混淆保护的恶意 py 文件。AI 原生安全筑内核，守护新一代数字供应链安全13pytensorlite 投毒包主页如下图所示，远程恶意 py 文件负责从 Chrome、Edge、Firefox 等主流浏览器应用以及Exodus、Atomic、Electrum 等主流加密货币钱包应用中窃取敏感数据（包括用户登录凭证、密码相关文档等），窃取的数据被 zip 打包后上传到攻击者控制的 webhook 接口。AI 原生安全筑内核，守护新一代数字供应链安全14远程恶意 py 代码此外，攻击者还会使用预制的恶意 app.asar 文件对系统中 Atomic 及 exodus 数字钱包客户端进行替换劫持，如下图所示。AI 原生安全筑内核，守护新一代数字供应链安全15数字钱包应用 asar 文件注入劫持 利用压缩包执行特性绕过静态检测使用 Python 解释器执行 ZIP 压缩包文件时，如果压缩包根目录中包含 _main_.py，Python会将该 ZIP 当作可执行程序运行，并执行压缩包目录中的 _main_.py 脚本。攻击者可利用该特性将恶意代码封装在 ZIP 压缩包中进行分发执行，以此躲避初级的静态代码检测。以 Python 组件 devilfree 为例，该恶意组件运行时会先释放出 ZIP 压缩包文件.Devil，接着通过 Python.Devil 命令直接执行 ZIP 压缩包，如下图所示。AI 原生安全筑内核，守护新一代数字供应链安全16释放执行压缩包 payload.Devil 实际上是个 ZIP 压缩包文件，文件列表如下图所示，由于.Devil 压缩包内包含_main_.py 文件，因此投毒者巧妙利用 Python 解释器执行压缩包的特性实现隐蔽执行.Devil 压缩包中的 _main_.py 脚本代码。压缩包文件列表_main_.py 代码内容如下图所示，被混淆处理过，其主要功能是实现对.Devil 压缩包的自解压，并通过判断当前系统 CPU 架构来加载执行释放出的恶意可执行程序。不同 CPU 对应的可执行程序文件映射关系如下所示。AI 原生安全筑内核，守护新一代数字供应链安全17armv7l:Devil32,armv8l:armeabi-v7a,arm:Devil32,aarch64:Devil64,arm64:Devil64,x86:x86,i686:x86,x86_64:x86_64,amd64:x86_64压缩包内置_main_.py 恶意脚本AI 原生安全筑内核，守护新一代数字供应链安全183.4 NPM 公共仓库公共仓库 引用外部恶意依赖绕过静态检测在 2025 年，悬镜安全情报中心发现数百起 NPM 投毒攻击事件是通过利用组件外部依赖方式来间接引入恶意包，其主要攻击细节是在 NPM 组件 package.json 中通过借用外部高信誉的托管平台来分发恶意依赖包，以此绕过传统静态代码检测以及恶意 IoC 检测。以 rc-icon 组件为例，package.json 中通过 dependencies 配置外部依赖，该外部依赖托管在谷歌云存储上，该方式不仅可规避常规的静态检测，也直接绕过了 NPM 官方仓库的依赖扫描统计（如下图所示）。rc-icon 组件外部依赖配置rc-icon 组件自身代码不存在任何恶意行为，但其托管在谷歌云上的依赖组件 ltidisafe 是攻击者投放的恶意包（AI 原生安全筑内核，守护新一代数字供应链安全19其主要功能是在组件安装过程中静默执行恶意文件 test.js 以此来收集并外传系统网络信息、主机名、用户目录等敏感数据。外部依赖 ltidisafe 恶意行为 混淆代码动态执行绕过静态检测截至目前，NPM 仓库正持续遭受 CHAI 系列投毒攻击，不同攻击者定期向 NPM 仓库投放大量组件包名以“chai-”开头的恶意包，该系列投毒包在代码特征上具备高度相似性，都是从攻击者C2 服务器上拉取高度混淆的恶意 JS 代码直接动态执行，不存在任何文件落盘行为，猜测该系列投毒与 APT 组织有关。AI 原生安全筑内核，守护新一代数字供应链安全20以组件 chai-min 为例，其 lib/caller.js 文件被植入恶意代码，核心功能是从远程服务器拉取一段高度混淆且内容由攻击者动态控制的恶意 JS 代码，并通过 new Function.constructor()接口动态加载执行，如下图所示。lib/caller.js 恶意代码攻击者使用的远程服务器链接被base64编码，解码后为：。这是一段高度混淆的 JavaScript 代码，采用多层字符串编码、变量名混淆和控制流扁平化等技术来对抗静态代码分析，其主要功能包括收集系统平台及环境信息、窃取主流浏览器 cookie 与登录凭证，以及收集加密货币钱包（如 MetaMask、TrustWallet 等）浏览器插件的敏感数据。AI 原生安全筑内核，守护新一代数字供应链安全21远程恶意 JS 代码 基于时间门控的远程代码执行后门winston-loggerex 该 NPM 组件的 lib/winston-loggerex/logger.js 文件被植入恶意代码，其主要功能是一个基于时间门控的远程代码执行后门。在特定日期（2025-10-13 06:30:00 GMT）之后，攻击者投放在 Google 云盘上（ma54W）的远程后门代码才被允许下载，后门代码最终经过 base64解码后通过 new Function 接口动态加载执行。AI 原生安全筑内核，守护新一代数字供应链安全22winston-loggerex 主页远程后门代码动态执行AI 原生安全筑内核，守护新一代数字供应链安全234.供应链投毒治理建议供应链投毒治理建议4.1 多模态多模态 SCA 审查审查针对日趋隐蔽的数字供应链投毒攻击，传统单一源码扫描已无法满足安全防护需求，亟需引入支持“源码-二进制-运行时”全链路场景的多模态 SCA 检测能力，构建投毒攻击深层防御体系，不仅可深度解析检测源代码、二进制文件、容器镜像等常规资产，还能覆盖 Agentic AI 生态热点资产（如模型权重文件、数据集、MCP 和 SKILL 等）。结合源鉴 SCA 的技术实践，唯有建立跨越开发态、交付态与运行态的供应链投毒综合审查机制，才能为企业构建起一道覆盖全技术栈的供应链安全防线。4.2 全生命周期全生命周期 SBOM 管理管理软件物料清单 SBOM 是治理供应链投毒的基石，但静态清单无法应对动态威胁。只有通过构建、测试、部署等各个环节实时采集并更新 SBOM 数据，才能够建立一份动态、透明的数字供应链资产清单。通过深度联动供应链投毒情报，基于全生命周期 SBOM 管理驱动的检测方案在应对投毒攻击时能够迅速精准响应，并且可通过最新 SBOM 拓扑图和关键 IOC 进行全局溯源，秒级定位受影响的业务资产与代码路径，极大缩短投毒事件的应急响应窗口，同时，依托全生命周期 SBOM 可持续监控数字资产的数据完整性，确保业务资产始终处于可控、可信状态。4.3 联动供应链投毒情报预警联动供应链投毒情报预警接入第三方权威数字供应链情报源，如悬镜云脉 XSBOM 供应链情报订阅服务，整合权威漏洞情报库及第三方专业投毒情报源，构建“情报SBOMDevSecOps”三位一体联动机制，将供应链安全情报深度融入 DevSecOps 敏捷安全全阶段，构建全流程积极防护体系。AI 原生安全筑内核，守护新一代数字供应链安全24在开发阶段，将情报接入开发环境实现实时预警恶意开源组件及投毒依赖，从源头规范依赖引入；在编译阶段，在 CI/CD 流水线集成 SBOM 生成与依赖图谱分析，通过联动投毒情报库，扫描深层嵌套依赖、容器镜像等制品，精准识别投毒组件，阻断带毒产物进入构建流程；在运行阶段，依托投毒情报 IoC 与行为基线模型，动态监测异常外联、数据窃取等投毒后门行为，提供运行时投毒风险预警。4.4 AI 原生安全治理原生安全治理AI 原生安全治理需覆盖“供应链资产安全”与“运行时动态防御”双主线。供应链资产层面，针对开源组件、模型、数据集等核心资产建立全流程管控，确保数据采集、训练阶段过滤有毒数据；模型发布优先选择安全的文件存储格式（如 huggingface safetensors）；模型加载前需进行安全扫描，避免加载内嵌恶意代码的模型文件；此外，还需构建 AI 原生安全开发流水线，在代码提交、PR 合并、CI 构建、插件/工具引入等环节嵌入 AI 模型驱动的原生安全审查流程，实时检测传统代码投毒及恶意指令。运行时防御层面，聚焦提示词注入、外部工具恶意行为等场景，实施部署环境隔离与权限最小化，防范运行时恶意代码执行及敏感数据外泄。5.总结与展望总结与展望2025 年，开源供应链生态中的恶意投毒攻击已进入高发期，攻击态势进一步呈现多样化及目标范围扩大化等显著趋势。由于开源生态“轻审核”机制，从主流公共仓库 NPM、PyPI 到 AI 模型托管平台及 AI Agent 生态市场，投毒攻击的目标范围持续扩大，攻击者使用的技术手法也越来越老练；同时对抗手段也日趋复杂：混淆保护绕过静态扫描、反调试、反沙箱检测、甚至利用 LLMAI 原生安全筑内核，守护新一代数字供应链安全25生成低特征投毒代码等现象将成常态。对于防御端，应构建从开发到部署的纵深防御体系，通过接入供应链投毒情报与可信验证机制实现“安全情报前置、全链路阻断”的防护方案。在此背景下，SBOM（软件物料清单）不再仅是合规备案的静态清单，而是成为供应链投毒治理的核心数据资产。结合数字供应链安全管理平台作为治理中枢，将企业内外部的 SBOM 资产统一纳管，并与实时接入的供应链安全情报流进行自动化关联与威胁匹配，使平台可迅速内对 SBOM执行溯源匹配，精准定位受影响的应用、容器镜像及运行时实例。在组件引入、构建打包及制品部署阶段实现“情报驱动 SBOM”的治理能力。由此 SBOM 从离散的软件物料资产台账升维为与供应链安全情报共生演进，投毒治理也从被动排查升级为体系化、自动化、精准化的积极免疫响应。攻以守本，为快不破！AI 智能时代，全球开源软件供应链攻击正加速向 Agentic AI 生态纵深演进，呈现“传统包管理器+AI 原生载体”双轨渗透趋势，唯有构建基于“AI 原生安全+DevSecOps敏捷安全+多模态 SCA+开源供应链情报预警”技术的新一代数字供应链安全治理体系，从源头治理大模型开发、训练、部署到智能体运营等关键环节面临的 AI 原生安全风险，帮助企业用户构筑一套从传统软件供应链到 AI 原生供应链全生命周期的内生安全治理体系，方能从根源上持续守护好新一代数字供应链安全。关于悬镜悬镜安全，起源于北京大学网络安全技术研究团队“XMIRROR”。作为新一代数字供应链安全开拓者，首创基于“AI 原生安全+DevSecOps 敏捷安全+多模态 SCA+开源供应链情报预警”技术的新一代数字供应链安全治理体系，从源头治理大模型开发、训练、部署到智能体运营等关键环节面临的 AI 原生安全风险，帮助企业用户构筑一套从传统软件供应链到 AI 原生供应链全生命周期的内生安全治理体系，持续守护新一代数字供应链安全。