一场代号为TrapDoor的供应链攻击正在攻破AI辅助开发领域的信任核心。安全研究机构Socket披露，攻击者向npm、PyPI和Crates.io三大生态同时投放了34个恶意包，但真正令行业警觉的并非数量，而是攻击手法：他们将AI助手作为代码执行跳板。

攻击链路分为三层。底层是常规的恶意包分发，用于收集钱包、SSH密钥与云凭证。中层是关键创新：攻击者向流行开源仓库提交伪装成功能改进的Pull Request，在请求中嵌入被篡改的CLAUDE.md和.cursorrules配置文件。当开发者合并PR并克隆仓库后，若在Claude Code或Cursor这类AI编程助手中打开项目，AI智能体会自动读取这些文件并视为可信指令——这意味着攻击者可以远程指挥AI在开发者本地执行任意shell命令，而开发者可能完全无知。

这起事件折射出AI辅助开发进入“孤岛式信任”阶段。传统供应链攻击多聚焦于代码依赖（如npm包注入后门），但TrapDoor将攻击面延伸至开发环境中的规则文件。CLAUDE.md原是Anthropic为Claude Code设计的项目级行为指南，.cursorrules则是Cursor的模型微调配置文件，二者本质是开发者与AI间的“共识协议”。攻击者巧妙利用了协议本身缺乏校验机制这一漏洞——AI助手默认这些文件来自项目维护者，而非对来源进行强制验证。

从技术指标看，此次攻击表现出高度协调性：所有恶意包在同一时段上传，使用相似的混淆代码和C2通信结构，且Payload服务器指向同一IP段。虽然目前尚未有大规模凭证泄露的公开报告，但Socket的IOC清单中包含了多个GitHub关联的恶意账户和子域名，表明攻击者可能已建立长期潜伏通道。

对于使用Claude Code或Cursor的开发者，立即检查项目中.cursorrules和CLAUDE.md的来源：确认文件未被第三方提交修改，尤其是通过Pull Request合并的变动。使用diff工具比对仓库中这些文件的Git历史，排查是否存在可疑的base64编码、远程下载指令或环境变量读取操作。同时，考虑在AI工具的工作流中引入沙箱执行或权限限制，例如禁止AI助手访问~/.ssh、~/.config等敏感目录。

TrapDoor预示着AI供应链攻击将从“间接影响”演变为“直接编程面”攻击。当AI工具越来越依赖项目内的配置文件来决定行为，这些文件的安全级别应提升至与代码库相同的级别。下一步，业界需要推动AI工具对规则文件进行证书签名或令牌验证，否则每次合并PR都是一次潜在的信任漏洞。（完）