一场名为“TrapDoor”的协调供应链攻击，同时向npm、PyPI和Crates.io三大软件包仓库投放了34个恶意包，目标直指加密货币、AI及安全开发者的钱包、SSH密钥和云凭证。攻击者采用了前所未有的手法：向流行开源项目提交Pull Request，暗中注入被篡改的CLAUDE.md和.cursorrules配置文件。当开发者克隆这些仓库并使用Claude Code或Cursor等AI编码助手时，AI智能体会将这类文件当作可信指令执行，从而在开发者毫不知情的情况下运行恶意命令。

这是首次将AI助手本身作为攻击面进行利用。传统供应链攻击通常聚焦于代码依赖中的后门或恶意包，而TrapDoor的特别之处在于它利用了开发者对AI助手的信任——这些助手会无条件遵循项目根目录下特定配置文件的指示。恶意配置文件可能指示AI修改构建脚本、窃取环境变量或在后台执行网络请求，而开发者往往不会逐行审查AI助手的配置文件，尤其在克隆熟悉项目时。此外，攻击者同步提交恶意包（如虚假的加密货币库或工具包），形成双重渗透：既从依赖层面感染，又从配置层面操纵AI行为，极大提高隐蔽性。

此次攻击的幕后组织被追踪为“TrapDoor”，其基础设施包括多个寄宿配置载荷的C2服务器。安全团队已披露完整的IOC列表，并提醒社区检查项目中.cursorrules和CLAUDE.md的提交历史。对于那些依赖AI辅助编码的开发者，安全建议包括：仅接受经过代码审查的配置文件变更；在克隆项目后手动审查AI配置内容，确认没有意外的exec或系统调用；对AI助手生成的任何涉及凭证读写、网络请求的命令保持警惕。此外，使用Socket等安全工具扫描依赖包的来源和异常行为，可有效阻断恶意包投放。

从更宏观的视角看，AI助手正在成为供应链安全的新薄弱环节。随着Claude Code、Cursor等工具逐步替代传统IDE插件，其信任模型却未同步升级——本质上，任何项目内被AI识别的配置文件都拥有“超级管理权限”。TrapDoor攻击暴露了这一缺口，未来类似的“配置+AI”联合攻击可能成为常态。开发者社区需要建立新的规范：将AI配置文件视为与Makefile或package.json同等重要的安全敏感文件，纳入CI/CD流水线的许可扫描。否则，AI助手将从提高效率的利器，演变为攻击者最锋利的跳板。