你以為 AI 工具只是幫你寫程式、回郵件的幫手嗎?現在它們可能成了駭客手中的最強武器。在 2026 年 5 月到 6 月短短一個月內,全球三大科技巨頭 OpenAI、Red Hat 與 Microsoft 接連爆發重大資安危機。這背後的幕後黑手,是一個叫做 TeamPCP 的組織所發動的 Miasma 蠕蟲攻擊。
什麼是蠕蟲?它像是一種不需要人類操作、就能在網路中自我複製並自動傳播的惡意軟體。這場風暴最可怕的地方在於,它完全顛覆了傳統的防禦邏輯。台灣 CIO 雜誌 指出,駭客現在不再只是攻擊你的防火牆,而是直接鎖定軟體開發過程中的自動化組裝線,也就是專業術語所說的 CI/CD 流程。
簡單來說,CI/CD 就像是一座全自動化的軟體工廠,負責把工程師寫好的程式碼自動測試並打包成產品。駭客這回直接入侵了這座工廠的控制室。以 OpenAI 為例,駭客偷走了他們的程式碼簽署憑證。憑證就像是公司的數位印章,一旦被偷,駭客就能偽裝成官方,把帶有病毒的更新程式發送給全球用戶。
甚至連 Microsoft 也難以倖免。駭客在程式碼庫中埋下陷阱,當工程師使用流行的 AI 輔助開發工具(例如 Claude Code 或 Cursor)開啟這些檔案時,電腦就會自動執行惡意程式並開始擴散。這種攻擊利用了工程師對 AI 工具的信任,形成了一種指數級的感染循環。
根據數據顯示,這是一場結構性的危機。目前全球有高達百分之 81 的組織使用託管 AI 服務,更有百分之 90 的組織正在運行自己的 AI 模型。然而,其中有百分之 68 的組織是透過第三方軟體間接引入模型。這意味著你的資安團隊可能在完全不知情的情況下,就繼承了供應商的風險。
更令人頭痛的是,駭客還設計了所謂的「死亡開關」。這是一種報復機制,如果資安人員在還沒清除病毒前就急著取消被偷走的存取權限,病毒就會觸發指令,直接刪除員工電腦裡的所有資料。
面對這種新型態威脅,我們該如何應對?首先,必須將 AI 基礎設施視為最高等級的特權系統。企業應該捨棄長期有效的密碼,全面改用短期身分憑證。這就像是給每個人一張只有幾分鐘時效的臨時門禁卡,就算駭客拿到了,很快也會失效。
此外,對於 AI 生成的程式碼或網路上的開源套件,必須實施「零信任」架構。簡單來說,就是「不論是誰寫的、誰給的,一律不准直接信任」。所有元件在進入正式生產環境前,都必須經過嚴格的自動化掃描與審查,才能確保供應鏈的安全。
[ 文章來源:剖析 Miasma 蠕蟲對 AI 供應鏈的系統性打擊與防禦 ]
The post 駭客更聰明?揭開 Miasma 蠕蟲如何癱瘓全球 AI 巨頭的信任危機 first appeared on CIO Taiwan.