软件供应链攻击的战术图谱正在快速迭代。一场代号为TrapDoor的协调攻击行动同时袭击了三大主流包管理器——npm、PyPI和Crates.io，累计投放34个恶意包。其目标并非传统的代码投毒，而是指向了一个全新的入口：AI编码助手的配置文件。这是安全研究机构Socket首次公开将AI助手作为供应链攻击跳板的真实案例。

攻击者的手法值得高度警惕。他们并未直接篡改开源库代码，而是向流行开源项目提交看似无害的Pull Request，在PR中植入被篡改的CLAUDE.md和.cursorrules文件。这两个文件分别对应Anthropic的Claude Code和Cursor IDE的智能体行为规则。当开发者克隆仓库并启动AI助手时，这些文件会被AI智能体当作可信指令自动加载，从而在开发者毫无察觉的情况下执行恶意命令，窃取加密货币钱包、SSH密钥以及AWS/GCP云服务凭证。

从技术视角看，这一攻击利用了AI编程助手普遍存在的“隐式信任”机制。传统IDE插件或构建脚本通常需要用户显式授权才能执行高风险操作，但AI助手为了提升编码效率，往往会自动读取项目根目录下的配置文件并当作“最佳实践”来遵循。攻击者正是瞄准了这一信任间隙，通过污染配置内容将AI工具变成反向代理或凭据窃取器。与以往的供应链攻击（如dependency confusion或typosquatting）相比，TrapDoor的传播链条更隐蔽：恶意包本身可能只是诱饵或数据回传通道，真正的“毒源”是那些经过精心伪装的配置文件。

本次攻击的针对性也十分鲜明——目标锁定加密货币开发者、AI从业者和安全研究人员。这些群体对AI助手的使用率最高，且本地环境通常存储高价值凭证。Socket在分析报告中披露了具体的IoC（威胁指标）列表，包括恶意包的名称哈希以及攻击者托管的payload/配置基础设施。截至目前，受影响的主要是Claude Code和Cursor的用户，但任何具备文件来驱动行为能力的AI编码工具都面临类似风险。

对于开发者与安全团队，以下防御措施值得立即采纳：第一，审计项目中的.cursorrules和CLAUDE.md来源，尤其警惕来自陌生贡献者的PR修改；第二，在AI助手设置中关闭“自动加载项目配置文件”功能，或加入白名单校验；第三，对AI工具的网络请求进行监控，限制其只能访问可信域名。更长远来看，AI工具的配置安全需要建立类似“数字签名”的信任链机制，避免将人类开发者的社会工程学漏洞直接映射给AI智能体。

TrapDoor事件标志着供应链攻击进入了“AI第三阶段”：从初期的依赖劫持，到中期的构建管道渗透，再到如今利用AI助手的行为模型进行社会工程。当AI开始代替人类执行代码时，攻击者也在学习如何欺骗AI。对于开发者而言，在享受AI带来的编码效率之前，或许该先为自己的工具链筑一道墙。