TrapDoor供應鏈攻擊：AI助手成新型攻擊面

ME News 消息，5 月 25 日（UTC+8），一場名為"TrapDoor"的協調供應鏈攻擊同時襲擊了npm、PyPI和Crates.io，涉及34個惡意包，旨在竊取加密貨幣、AI和安全開發者的錢包、SSH密鑰和雲憑證。攻擊的新手段是向流行開源項目提交Pull Request，注入被操縱的`CLAUDE.md`和`.cursorrules`配置文件。當開發者克隆倉庫並使用Claude Code或Cursor等AI助手時，AI智能體會將這些文件當作可信指令執行，可能在開發者不知情下運行惡意命令。這是首次將AI助手作為攻擊面。（來源：ME）