安全研究机构Socket近日披露了一场代号为“TrapDoor”的定向供应链攻击。该攻击同时渗透了npm、PyPI和Crates.io三大软件包生态，植入34个恶意包，目标直指加密货币钱包、SSH密钥、云平台凭证。然而，TrapDoor最值得警惕之处并非攻击规模，而是其开辟的全新攻击面——AI代码助手。

攻击手法呈现高度定制化特征。核心步骤包括：向流行的开源项目提交恶意Pull Request（PR），PR内并不包含直接的可执行代码，而是伪装成项目配置文件的CLAUDE.md与.cursorrules。当其他开发者克隆该仓库并使用Claude Code或Cursor等AI编程助手时，AI智能体会将这两个文件当作可信指令文档自动解析并执行。技术分析表明，攻击者通过精心构造的参数，引导AI助手在开发者不知情的情况下，远程下载并运行恶意负载，从而窃取各类凭证与资产。

从技术演进视角看，TrapDoor突破了传统供应链攻击的边界。以往恶意包依赖的是开发者疏忽、手动安装或依赖混淆，而本次攻击则劫持了AI工具对项目文件的“信任链”。当前业界并未普遍将.cursorrules或CLAUDE.md视为潜在恶意负载载体，这使得传统的静态分析与依赖扫描工具存在显著的检测盲区。更危险的是，由于AI助手在执行指令时缺乏明确的权限隔离与用户确认机制，攻击者相当于获得了一条无需提权即可执行系统命令的捷径。

对开发者而言，以下措施应被立即纳入工作流程：1）严格审查Pull Request中涉及.cursorrules和CLAUDE.md的所有变更，切勿信任来自非核心维护者的此类文件；2）在AI助手配置中禁用“自动执行非官方配置文件”选项；3）对开发环境进行凭证轮换，特别是曾克隆过疑似恶意仓库的用户。长远来看，AI工具厂商需尽快建立配置文件签名与验证机制，否则，TrapDoor很可能仅仅是此类攻击的开始——随着AI驱动开发普及，配置文件层面的供应链风险将呈指数级增长。