开源社区正面临一场前所未有的AI供应链攻击。一起名为“TrapDoor”的协调攻击同时席卷npm、PyPI和Crates.io三大包管理器，投放34个恶意包，目标直指加密货币、AI安全及区块链开发者的数字资产——钱包、SSH密钥和云服务凭证。

这场攻击最具杀伤力的并非恶意包本身，而是它首次将AI编码助手作为攻击跳板。攻击者向GitHub上流行的开源项目提交精心伪造的Pull Request，在被合并的代码中插入被操纵的CLAUDE.md和.cursorrules文件。当开发者克隆项目使用Claude Code或Cursor等AI智能体工具时，这些配置文件自动被AI当作“权威指令”加载执行。

与传统的依赖混淆、typosquatting（域名仿冒）和软件包劫持不同，TrapDoor攻击展示了攻击模式的新维度。以往攻击者的目标是开发者运行的编译工具或运行时环境；如今，攻击者利用插件和配置文件，将AI智能体本身变成传声筒和行动者。AI工具在未知情的情况下，可能执行恶意命令、下载payload，甚至主动向攻击者控制的C2服务器发送窃取的数据。

这一攻击模式的危险在于信任链的转移。开发者对开源项目的依赖构建了第一层信任；AI助手对项目内配置文件的“无需确认”执行则形成了第二层信任；攻击者正是精准地击中这个信任脆弱点。在此次攻击中，恶意配置文件的最终目的是窃取开发者的加密货币钱包、SSH密钥和云凭证，但理论攻击边界可以扩展至窃取任何AI工具能访问的数据。

对于使用Claude Code、Cursor或类似AI编码工具的开发者，以下措施刻不容缓：

1. 审计配置文件来源：检查项目中的.cursorrules和CLAUDE.md文件是否来自可信提交，建议使用git log查看最近修改记录，清理由陌生账户提交的配置文件。

2. 严格监控外部PR：在团队项目中，对外来的Pull Request进行CR（代码审查）时，必须检查其是否包含AI配置文件改动。如果是，优先拒绝此类PR。

3. 隔离AI执行环境：考虑为AI工具设置沙盒运行环境或权限最低原则，限制其读取敏感目录和执行系统命令的能力。

这股攻击浪潮揭示了AI信任革命的双刃剑：我们越信任AI自动执行指令，就越容易成为社会工程师的新目标。下一阶段的供应链安全，必然要从审查代码扩展到审查赋予AI的“信任配置”。开发者不应无条件信任AI助手对项目内文件的读取与执行；开箱即用的安全性，从未像现在这样成为AI工具设计的核心命题。