一场代号“TrapDoor”的供应链攻击正在悄然重塑开源生态的安全边界。根据安全机构Socket的详细分析，攻击者同时在npm、PyPI和Crates.io三大主流包管理器发布34个诱饵包，目标直指加密货币、AI和安全开发者的钱包、SSH密钥及云服务凭证。相较于传统依赖混淆或typosquatting手段，此次攻击最引人注目的创新在于：它将AI开发助手本身变成了武器。

攻击者的战术链条分为三个阶段。首先，他们向流行开源项目发送精心构造的Pull Request，在看似无害的代码修改中夹带被篡改的CLAUDE.md和.cursorrules文件——这两个文件分别是Claude Code和Cursor（基于AI的代码编辑器）的“行为指令集”。传统上，这些配置文件用于指导AI助手遵循项目编码规范或执行特定任务，但攻击者通过在其中嵌入恶意命令，实现了对AI智能体的遥控。当开发者克隆仓库并启动AI助手时，智能体会将这些文件视为权威规则，在无需用户确认的情况下直接执行指令：例如读取本地SSH私钥、解析浏览器密码管理器、甚至向攻击者控制的外部端点发送数据。

这一手法标志着供应链攻击的重大范式迁移。过去，攻击者主要通过后门依赖、编译时注入或运行时代码劫持来渗透环境；而TrapDoor则利用开发者对AI助手“自动执行配置”的天然信任，将配置文件提升为无需认证的权限载体。更值得警惕的是，Claude Code和Cursor均具备自主生成、修改、运行代码的能力——这意味着一旦配置文件被污染，AI可以在开发者毫不知情的情况下执行完整的渗透链条：从枚举系统信息、窃取凭证，到植入持久化载荷。这与2023年爆发的“CodeGate”攻击（利用GitHub Actions窃取Token）相比，攻击面从CI/CD管道扩展到了AI辅助编程的核心工作流。

从技术取证角度看，恶意包中有一部分伪装成加密锁库或AI工具扩展，攻击者还搭建了专门的基础设施用于回传窃取的数据。Socket已公开完整的IoC列表（包括包名、哈希值和GitHub仓库ID）。对于仍在依赖自动AI补全和代码生成的团队，这是一个必须立刻响应的信号：AI助手的信任模型需要从“完全信任配置文件”转向“语境沙箱执行”。具体而言，开发者应审查项目中.cursorrules和CLAUDE.md的来源，确保它们来自已验证的维护者提交；同时限制AI助手访问敏感系统资源（如文件系统、环境变量和网络），并通过版本控制对配置文件变更进行审计。

这场攻击再次证明：每一项提升效率的自动化工具，都可能成为攻击者突破的捷径。当AI助手被赋予执行权限，配置文件就不再是辅助文档，而是拥有完整系统调用的“脚本”。对于整个软件开发行业而言，当前最急迫的问题不是“如何让AI更智能”，而是“如何在不牺牲安全性的前提下，为AI划定可信执行边界”。TrapDoor不是孤例，它只是AI供应链安全攻防战的序幕。