OpenAI也遭波及：企業每天使用的工具，可能正成為攻擊入口，一場從第三方工具開始的供應鏈攻擊

當許多企業仍將「供應鏈攻擊」理解為軟體更新被植入惡意程式時，攻擊者早已悄悄改變打法，將目標轉向企業開發者與員工每天都在使用的開源套件與第三方工具。

近日，一場橫跨 npm 與 PyPI 兩大主流開源生態系的精密供應鏈攻擊全面爆發。名為 Mini Shai-Hulud 的惡意程式，在短短數日內擴散至超過 170 個軟體套件、衍生出逾 400 個惡意版本，受害範圍涵蓋 TanStack、UiPath、Mistral AI、OpenSearch、Guardrails AI 等知名開源專案。這場災情不僅讓人工智慧巨頭 OpenAI 證實內部兩名員工的裝置遭入侵，包含 Mistral AI、UiPath、以及 AWS OpenSearch 等國際知名科技企業也是受害者。此次事件已被稱為漏洞 CVE-2026-45321，通用漏洞評分系統（CVSS）評分高達 9.6，屬於嚴重等級。

    📚新聞來源：惡意程式 Mini Shai-Hulud 供應鏈攻擊全網擴散：170+ 套件淪陷，OpenAI 員工裝置也遭入侵

即使是擁有世界級頂尖資安資源與技術實力的科技公司，也無法完全規避第三方工具生態系的潛在風險。這起事件向全球企業敲響了警鐘：攻擊者現在最有效率的入侵手段，不是正面突破企業防火牆，而是污染企業每天都在「信任」的自動化開發流程與第三方工具。

這次 Mini Shai-Hulud 攻擊之所以能讓這麼多科技大廠中招，是因為攻擊者用了一套「連環計」巧妙串聯了軟體開發生命週期（SDLC）中的三道防禦弱點以及對 AI 工具的深度寄生：

1️⃣利用自動化流程缺陷發動「Pwn Request」：攻擊者利用自動化發布流程的漏洞，提交了一個看似合法的變更申請，暗中騙取了自動化系統的核心存取權限。

2️⃣共用快取毒化（Cache Poisoning）：取得權限後，攻擊者隨即將高達 1.1 GB、已被竄改的惡意套件快取，強行寫入系統日常更新會用到的「共享快取區」。當後續合法的軟體發布流程啟動時，系統因信任快取而直接下載了這批「毒快取」。

3️⃣竊取驗證憑證與自動化發布：最終，攻擊者的程式碼在合法的環境中執行，暗中竊取了核心驗證憑證（Token），利用這個合法的身分憑證，順理簽署惡意版本的套件、把受污染的工具發布到官方套件庫，引發全網擴散。

與傳統竊取完資料就跑的惡意程式不同，Mini Shai-Hulud 具備極強的「持久化寄生能力」。把毒下成功後，它會直接修改工程師愛用的 AI 編碼助理（如 Claude Code） 和編輯器設定，把自己變成「宿主」。這意味著，即使工程師事後發現問題並執行了移除，惡意程式碼早已潛伏在 AI 助理的底層設定檔裡，只要工程師每次開機、或者呼叫 AI 助理幫忙寫程式，惡意程式碼就會復活並重新執行。更猖獗的是，它還內建了「魚死網破機制（Dead Man's Switch）」，一旦偵測到受害者嘗試撤銷被偷走的 Token，便會採取報復手段，惡意刪除使用者的電腦檔案。

雖然 OpenAI 在此次事件中迅速展開調查，未發現用戶資料遭到存取或系統、資產遭到入侵，但卻因此需要展開一系列的保護行動：隔離受影響的系統與身分、撤銷使用者連線階段、輪換受影響儲存庫的存取金鑰、暫時限制程式碼部署流程、並徹底審查使用者與金鑰行為等一連串拆彈工程。且因為受影響的原始碼儲存庫包含軟體簽章金鑰，為求謹慎，他們更公告要求全球 macOS 用戶須在 6/12 前強制更新 App，否則軟體將無法使用。

這對任何企業來說都是一場災難，當營運被迫按下暫停鍵、耗費人力逐行審查代碼，甚至得驚動全球用戶強制更新軟體，這背後巨大的修復成本與信用衝擊，再次證明「事後修補」的代價遠比「事前防禦」來得沉重。