干净 GitHub 仓库被用于诱导 AI 编程代理执行恶意代码

据 BleepingComputer 报道，安全研究人员发现一种针对 AI 编程代理的新型攻击手法：攻击者可以在一个看似无害、代码层面甚至完全干净的 GitHub 仓库中植入隐蔽指令，当开发者使用 AI 编程代理（如 Cursor、Claude Code 等）来分析、运行或修改该仓库时，代理会被诱导执行恶意命令。

攻击原理简述

这类攻击属于「间接提示注入」（indirect prompt injection）的典型应用场景。攻击者并不需要与 AI 直接对话，而是将恶意指令嵌入到仓库中 AI 代理可能读取的位置——例如 README、配置文件、代码注释、Issue 描述或提交信息等。当 AI 代理在处理用户请求时读取这些内容，便会将隐藏指令一并纳入上下文，误将其视为开发者的合法意图，进而执行危险操作。

为何值得关注

与针对聊天机器人的普通提示注入不同，AI 编程代理通常拥有执行 Shell 命令、读写文件、安装依赖等较高权限。一旦被诱导成功，攻击者可能借此获取开发者本地机器的控制权、植入后门、窃取代码或凭据，危害远超普通越狱攻击。更棘手的是，仓库在静态扫描下可能「看起来很干净」，恶意指令可被巧妙地伪装为正常文本、注释甚至特殊编码，传统安全工具难以识别。

对开发者的启示

• 对来源不明的新克隆仓库，先手动浏览关键文件内容，再交由 AI 代理处理
• 为 AI 编程代理开启沙箱或限制其可执行命令的范围与目录
• 关注所用 AI 编程工具的安全更新与权限管理机制
• 在 CI/CD 流程中增加对仓库外部数据来源的可信度校验

随着 AI 编程代理在开发者工作流中扮演越来越重要的角色，「供应链 + 提示注入」的组合攻击正成为新的安全前沿。整个生态需要在「便捷」与「安全」之间尽快找到更可靠的平衡点。