50天内四起AI供应链攻击：发布管道成红队盲区

四起供应链攻击暴露共同漏洞

在短短50天内，OpenAI、Anthropic和Meta等前沿AI实验室接连遭遇四起供应链安全事件：三起由外部攻击者发起，一起源于内部打包失误。这些事件虽未直接针对模型本身，却共同指向一个未被红队（red teams）覆盖的薄弱环节——发布管道、依赖钩子、CI运行器及打包网关。无论是系统卡、AISI评估还是Gray Swan红队演练，均未将此类风险纳入检测范围。

四起事件的详细剖析

• “迷你沙丘虫”蠕虫攻击（2026年5月11日）

  名为“迷你沙丘虫”的自传播蠕虫在六分钟内，通过TanStack的发布管道发布了84个恶意包，涉及42个@tanstack/* npm包。攻击者利用release.yml文件，串联pull_request_target配置错误、GitHub Actions缓存投毒及OIDC令牌提取，劫持了TanStack的信任发布流程。这些恶意包因来自正确仓库、通过合法工作流并使用有效OIDC令牌发布，具备有效的SLSA构建级别3证明，却未触发任何安全警报。

• OpenAI员工设备被攻破（2026年5月13日）

  攻击发生后两天，OpenAI确认两名员工设备被入侵，内部代码仓库的凭证遭窃取。公司随即撤销macOS安全证书，要求所有桌面用户在6月12日前更新系统。OpenAI表示此前已加固CI/CD管道，但受影响设备未及时部署更新——这正是构建管道被攻破的典型响应模式，而非模型安全事件。

• LiteLLM供应链投毒与Mercor数据泄露（2026年3月24-27日）

  威胁组织TeamPCP利用此前窃取的Aqua Security Trivy漏洞扫描器凭证，在PyPI上发布了两个恶意LiteLLM Python包。该包作为主流LLM代理网关，恶意版本上线40分钟内下载量近4.7万次。攻击迅速蔓延至Mercor——这家价值100亿美元的AI数据公司，其客户包括Meta、OpenAI和Anthropic，导致4TB数据泄露，含Meta的专有训练方法。Meta随即冻结合作关系，五天内引发集体诉讼。一个暴露40分钟的依赖包，造成了跨行业的连锁影响。

• Anthropic Claude Code源码泄露（2026年3月31日）

  此次事件为内部失误：Anthropic将包含59.8MB源码映射文件的Claude Code 2.1.88版本发布至npm。该文件指向Anthropic Cloudflare R2存储桶，包含51.3万行未混淆TypeScript代码，涉及代理编排逻辑、44个功能标志及多代理协调架构，且无需认证即可下载。安全研究员Chaofan Shou在数小时内发现漏洞，Anthropic紧急下架。这是13个月内的第二次类似泄露，根源是.npmignore文件遗漏一行，发布流程缺乏人工审核。

• TanStack攻击的连锁反应（2026年5月11-14日）

  Wiz Research将此次攻击归因于TeamPCP，StepSecurity在20分钟内检测到异常。蠕虫不仅影响TanStack，还扩散至Mistral AI、UiPath等160多个包，甚至冒充Anthropic Claude身份提交代码，绕过代码审查。

四起事件，一个核心发现

模型红队未覆盖发布管道。上述四起事件共同指向一个架构性结论：红队的检测范围止于模型边界，而构建管道恰恰位于边界之外。无论是攻击者劫持的发布流程，还是内部失误导致的源码泄露，均暴露了这一盲区。

时间巧合下的漏洞警示

2026年5月10日，OpenAI推出“破晓计划”（Daybreak），基于GPT-5.5和专用模型GPT-5.5-Cyber，旨在通过授权红队测试提升AI安全性，合作伙伴包括Cisco、CrowdStrike等。次日，“迷你沙丘虫”蠕虫便攻破了OpenAI员工设备。OpenAI在声明中承认漏洞存在——公司虽已加固CI/CD管道，但受影响设备未部署更新，导致攻击得手。这表明，即使安全措施已制定，部署滞后仍可能让漏洞暴露。

关注微信号：智享开源 ，可及时获取信息

原文链接：https://venturebeat.com/security/supply-chain-incidents-openai-anthropic-meta-release-surface-vendor-questionnaire-matrix