編譯/Frances
短短一個月內(2026 年 5 月至 6 月),全球開源與科技巨擘 OpenAI、Red Hat 與 Microsoft 接連爆發重大資安危機。這三起事件的幕後黑手,皆指向勒索軟體組織 TeamPCP 所發起的 Miasma 蠕蟲(又稱 Mini Shai-Hulud 變種)。對企業決策者(CIO/CISO)而言,這波攻擊的警訊不在於駭客身分,而是其完全顛覆傳統邊界防禦的攻擊路徑。攻擊者以開源套件與 CI/CD 流程為入侵點,利用雲端憑證進行橫向移動,最終直取 AI 企業的雲端權限與程式碼簽署金鑰。當 AI 工具鏈與雲端供應鏈無縫融合,一場針對「軟體信任模型」的風暴正在席捲全球。本文將從戰略視角深入拆解這場系統性危機,為高階資安主管提供直擊核心的治理藍圖。
AI 躍升雲端核心基礎設施 整合年帶來隱性攻擊面
雲端安全廠商 Wiz 在《State of AI in the Cloud 2026》報告中將 2026 年定調為 AI 的「整合年」,高達 81% 的組織已使用託管 AI 服務,且有 90% 正在運行自託管模型。AI 已不可逆地嵌入現代雲端環境與開發工作流程中。
[ 加入 CIO Taiwan 官方 LINE、Facebook 與 LinkedIn,與全球 CIO 同步獲取精華見解 ]
然而,這背後隱藏著龐大的供應鏈風險。數據顯示,高達 68% 運行自託管模型的組織是透過第三方軟體間接引入模型(Transitive AI)。這意味著安全團隊在不知情的情況下,被迫繼承了供應商的模型風險與漏洞。同時,80% 的組織已將 AI 輔助開發工具(如 AI IDE 擴充套件)列為工程師的日常標配。當 AI、雲端基礎設施與開發工具鏈融為單一運作平面時,保護系統的不再是傳統網路防火牆,而是 CI/CD 流程與身分憑證體系,這也使其成為駭客眼中投報率最高的脆弱樞紐。
鎖定 DevOps 關鍵樞紐,三大指標事件的戰略警訊
這波 Miasma 攻擊,完美示範了如何精準打擊現代 DevOps 團隊最依賴的底層基礎設施。
‧OpenAI 開發工具鏈與簽署憑證遭竊
5 月 11 日,TeamPCP 透過廣泛使用的 TanStack npm 套件發動供應鏈攻擊,成功入侵 OpenAI 員工裝置。受波及的儲存庫包含 ChatGPT Desktop 等產品在多個作業系統平台的程式碼簽署憑證,迫使 OpenAI 全面輪換憑證,並要求 macOS 用戶強制更新應用程式。該惡意程式系統性地竊取 GitHub token、AWS 金鑰與 Kubernetes secrets 等核心憑證,波及範圍更擴及 Mistral AI 與 UiPath 等多個專案。
‧Red Hat 合法 CI/CD 流程淪為派發中心
6 月 1 日,攻擊者並未採用傳統的域名仿冒,而是直接劫持了 @redhat-cloud-services 的合法 npm 命名空間,植入 31 個惡意套件。這些套件是透過 GitHub Actions OIDC token 發布,證實 CI/CD 流程(Pipeline)本身已遭攻陷。為求隱蔽,Miasma 會將資料外洩的網路流量偽裝成導向 api.anthropic.com/v1/api 的請求,完美混入企業內使用 Anthropic AI 服務的正常網路紀錄中,藉此規避資安團隊的異常偵測。
‧Microsoft 的 AI 開發工具淪為蠕蟲傳播向量
6 月 5 日,Miasma 利用遭入侵的貢獻者帳號,對 Microsoft 的 73 個 GitHub 儲存庫發動攻擊。攻擊者透過惡意 commit 植入特定設定檔(如 .claude/settings.json 或 .cursor/rules/setup.mdc),當開發者使用 Claude Code、Cursor 或 VS Code 等 AI 工具開啟該儲存庫時,即會自動觸發惡意負載執行。這不僅竊取了環境金鑰,更形成指數級的擴散循環。
資安平台 FalconFeeds.io 點出,Miasma 的核心威脅在於它並未利用系統技術漏洞,而是直接剝削軟體交付平台的「信任模型」。只要惡意程式碼由已驗證的維護者透過有效憑證發布,系統就會自動將其視為安全並派發給下游。
全球產業數據印證 這是結構性危機而非偶發個案
這些事件反映了全球資安格局的結構性變化。世界經濟論壇(WEF)的《Global Cybersecurity Outlook 2026》報告指出,87% 的受訪者將 AI 相關漏洞列為過去一年成長最快的資安風險。同時,有 65% 的組織將供應鏈漏洞視為達成網路韌性的最大障礙。
雲端安全聯盟(CSA)的報告更進一步揭露核心盲點。在現代雲端環境中,非人類身分(如機器帳號與服務帳號)的數量已遠超人類使用者,比例高達 100:1。基礎設施即程式碼(IaC)的狀態檔如同「環境的大腦」,其中往往藏有大量明文憑證。若未經妥善加密,這些富含機密的檔案將成為 Miasma 蠕蟲等攻擊者的首要標的。
化被動為防禦,應對 AI 供應鏈威脅的四大戰略行動
面對攻擊面從防火牆轉移至開發管線與非人類身分的嚴峻現況,企業領導者必須重新框架「供應鏈」的定義,將 AI 工具鏈與開源生態納入與硬體供應商同等嚴格的治理範疇。建議企業採取以下具體防禦行動來降低風險:
- 重新設計事件應變程序並嚴防死亡開關 傳統「發現外洩即輪換憑證」的作法已不再適用。Miasma 會在受感染系統植入持久性監控服務(如 gh-token-monitor)來監視遭竊的 GitHub token。若在未隔離機器且未清除持久性機制前就撤銷 token,將觸發「死亡開關(Dead-man switch)」,進而執行清除用戶主目錄等破壞性指令。
- 針對 CI/CD 實施外流流量的威脅狩獵 資安團隊應主動清查 CI 執行環境(runners)或開發者端點設備,監測是否有未經授權的 Node 或 Bun 程序向偽裝的 AI 服務端點(如 api.anthropic.com/v1/api)發送異常請求。
- 強制轉向短期身分憑證管理架構 必須將 AI 基礎設施視為高特權系統,並淘汰長期有效的靜態 API 金鑰與明文儲存的狀態檔。全面改用基於身分的短期範圍憑證(Ephemeral credentials),將攻擊者可利用的機會視窗縮短至極限。
- 對 AI 開發工具與生成程式碼實施零信任架構 無論是 AI 撰寫程式助手快速生成的程式碼(Vibe coding),還是社群開源套件,都必須視為不可信的第三方元件。組織應在將這些元件整合至生產環境前,導入強制性的自動化安全掃描與審查流程,以確保供應鏈的完整性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
