【攻击背景】一个朝鲜高级持续性威胁APT组织制作了恶意软件包以吸引人工智能编码代理而“依赖幻觉抢占”则显示出幻觉依赖带来的安全风险。攻击者想从人工智能编码热潮中获利调整供应链攻击技术将目标指向编码代理本身。许多人工智能代理会自动扫描 NPM 和 PyPI 等软件包注册表攻击者利用这一点在注册表上推出描述诱人且具备合法功能的诱饵软件包针对人工智能编码代理可能误认作依赖项的名称创建软件包也是即将出现的攻击手段。【PromptMink 攻击】安全公司 ReversingLabs 的研究人员追踪到一起利用“大语言模型优化LLMO滥用和知识注入”的供应链攻击命名为 PromptMink归因于朝鲜的 APT 组织 Famous Chollima该组织通过针对加密货币和金融科技领域的开发者和用户为政权筹集资金。研究人员指出这场攻击带来软件供应链安全新挑战人工智能编码代理被操纵安装和使用恶意依赖项与常见社交工程手段有相似之处但威胁行为者能在部署诱饵前进行测试。【不断演变的攻击活动】朝鲜威胁行为者常用社交工程手段诱使开发者安装恶意软件。PromptMink 攻击活动始于去年 9 月出现 hash - validator/v2 和 solana - launchpad/sdk 两个恶意软件包SDK 作诱饵hash - validator 含信息窃取程序。多个第二层恶意软件包不断轮换诱饵软件包不断多样化涵盖多个软件包注册表和多种编程语言。后来攻击手段进一步发展增加混淆技术和恶意行为如部署 SSH 密钥、窃取代码项目还转向使用编译后的有效负载增加检测难度。【利用大语言模型欺骗大语言模型】ReversingLabs 研究人员在恶意组件创建中发现“氛围编码”迹象包括大语言模型生成的代码注释。它们的 README 文件细节丰富起初怀疑是吸引开发者后证实目标可能是大语言模型驱动的自主编码代理。2026 年 1 月Moltbook 上一个机器人发布使用 solana - launchpad/sdk 软件包的帖子可能是攻击者控制的机器人故意发布。研究人员还发现合法项目 openpaw - graveyard 包含该软件包作为依赖项是由 Claude Opus 共同撰写的提交中添加的。研究人员总结此次攻击将技术转变为大语言模型优化LLMO滥用和知识注入的结合。【“依赖幻觉抢占”】人工智能代理的供应链风险不仅在于软件包描述和文档编码代理可能凭空“幻想”出软件包名称。今年 1 月Aikido Security 的研究人员 Charlie Eriksen 注册了大语言模型“幻想”出的 react - codeshift 软件包随后它被引入 237 个 GitHub 代码库。事情始于去年 10 月的“氛围编码”创建的代理技能调用了该软件包。Eriksen 将这种新威胁称为“依赖幻觉抢占”。【氛围编码代理需要更强的安全控制】随着企业将人工智能代理融入业务工作流程和软件开发管道安全控制措施需跟上新型攻击途径。美国网络安全与基础设施安全局、美国国家安全局及其五眼联盟伙伴发布联合建议包括维护可信注册表、限制人工智能代理、高影响操作前获人工批准等。这些机构警告糟糕或误导的工具描述会导致代理选择不可靠人工智能编码代理安装依赖项需开发者审核开发团队应实施软件物料清单SBOM实践。【相关领域】软件开发、DevSecOps、应用程序安全、安全、人工智能