AI 開發者成了肥羊？微軟開源工具被植入密碼竊取器

> Nerf Watch

六月初的某個週末，一位正在用 VS Code 開發 AI 應用的工程師發現自己的 Azure 帳號被盜用了。他的 OpenAI API key 被拿去跑了一整夜的推理任務，帳單瞬間爆表。這不是個案 — 類似的災情在 AI 開發者社群裡開始蔓延，直到安全公司 Cloudsmith 和 OpenSourceMalware 發現真相：駭客入侵了微軟的開源專案，專門盯上 AI 開發者下手。

這次攻擊的手法很精準。駭客沒有亂槍打鳥，而是專挑跟 Azure、Claude Code、Gemini CLI 這些 AI 開發工具相關的 repos 下手。原因很簡單 — AI 開發者手上握著最值錢的東西：API keys、雲端憑證、還有大量的訓練資料。一個 OpenAI API key 可能價值數千美金，Azure 的企業帳號更是天價。

駭客的邏輯很清楚：與其攻擊一般使用者偷信用卡號碼，不如直接搶 AI 開發者的「生產工具」。這就像電競選手的帳號比一般玩家值錢一樣 — 同樣是遊戲帳號，但裡面的資源價值完全不同。

微軟的開源帝國與新威脅

微軟在開源世界的布局其實很深。自從 2018 年收購 GitHub 之後，他們就成了全球最大的開源程式碼託管平台的擁有者。加上自家的各種開源專案 — 從 .NET Core 到 PowerShell，再到各種 Azure 工具 — 微軟已經是開源生態系的關鍵玩家。

但這次的攻擊暴露了一個新問題：AI 熱潮讓某些開發者變成了「高價值目標」。過去駭客入侵開源專案，通常是為了大規模散佈惡意軟體，或是挖礦。現在不一樣了，他們開始瞄準特定族群 — 那些手上握著 AI 資源的開發者。

根據 Cloudsmith 的分析，這次被植入惡意程式的專案至少有 70 個，都跟 AI 開發工具鏈相關（來源：TechCrunch）。駭客很聰明，他們知道用 Claude Code 或 Gemini CLI 的工程師，99% 都有 API keys。與其撒網捕魚，不如精準狩獵。

微軟的回應算是快速，立刻下架了受影響的 repos，並且主動通知可能受害的客戶。發言人 Ben Hope 表示已經「暫時移除了一些可能包含惡意內容的儲存庫」，並且會「透過既有的支援管道直接聯繫」受影響的客戶（來源：微軟官方回應）。

這種主動出擊的態度跟以前很不一樣。以前出事了通常是先否認、再推責任、最後才道歉。現在直接承認問題、主動通知客戶，顯示他們對這類攻擊的嚴重性有新的認知。

Supply Chain Attack 的新戰場

這次攻擊屬於典型的 supply chain attack — 攻擊軟體供應鏈的上游，影響下游所有使用者。但有個重要的變化：以前這種攻擊通常瞄準 npm、PyPI 這些 package manager，現在開始直接攻擊大公司的開源專案。

原因很現實：大公司的 repos 更有可信度。當你看到微軟官方的 Azure CLI 工具，你會毫不懷疑地 git clone 下來用。這種信任感正是駭客要的 — 不需要社交工程、不需要釣魚信件，目標會主動把惡意程式裝到自己電腦上。

更糟的是，AI 開發者的工作環境通常權限很高。他們需要存取雲端資源、呼叫各種 API、處理大量資料。一旦被入侵，損失可能是指數級的。這就像攻擊銀行系統的工程師一樣 — 同樣是工程師，但影響範圍完全不同。

這也不是微軟第一次中獎。根據 Ars Technica 的報導，五月中旬時他們的 Durable Task 專案就被攻擊過一次。兩個月內連續兩起攻擊，顯示駭客已經把微軟的開源專案當成固定的狩獵場了。

技術上來看，這種攻擊防禦起來很困難。你不能要求每個工程師在下載開源工具前都做 code review — 這根本不實際。而且惡意程式通常隱藏得很深，可能要在特定條件下才會觸發。等你發現的時候，API key 早就被盜走了。

Meta 判讀：AI 開發者成為網路戰爭的新前線

從 meta 角度來看，這是個明顯的 Nerf Watch 事件。AI 開發者這個族群被「削弱」了 — 他們從相對安全的工程師變成了高風險的攻擊目標。

這讓我想到 WoW 早期的法師職業。原本法師只是個 DPS，大家都打坦克或補師。直到有人發現法師的 AOE 能力可以用來刷金，瞬間所有盜號者都開始專門盯法師帳號。職業本身沒變，但 meta 環境變了，法師從安全變成了肥羊。

AI 開發者現在就是這個狀況。他們的技能和工作內容沒變，但因為 AI 熱潮，手上握著的資源價值爆表。一個有經驗的 AI 工程師，可能同時有 OpenAI、Anthropic、Google Cloud 的 API keys，加上各種雲端服務的 credentials。這些東西加起來，可能比一般人的銀行帳戶還值錢。

更重要的是，這種趨勢會持續加劇。隨著 AI 應用越來越普及，API costs 只會越來越高。GPT-4 的 API 已經不便宜了，未來更強的模型只會更貴。駭客的投資報酬率會越來越高，攻擊動機也會越來越強。

從產業角度看，這是個系統性風險。整個 AI 開發生態都建立在開源工具和雲端服務上。如果開發者開始不敢用開源工具、不敢把 credentials 存在本地，整個開發效率都會受影響。這可能會推動更多企業轉向封閉式的開發環境，對開源生態造成長期傷害。

對工程師的啟發：防禦比進攻更重要

如果我現在還在做 AI 開發，這事件會讓我重新檢視自己的 security practices。幾個值得注意的點：

首先，API key 的管理需要升級。不能再像以前一樣把所有 keys 丟在 .env 檔案裡就算了。至少要用 vault 系統，或是雲端的 secret manager。雖然多了一層複雜度，但比起被盜號的損失，這點麻煩算不了什麼。