互联网安全行业：2025开源供应链投毒分析技术报告

AI 原生安全筑内核，守护新一代数字供应链安全1攻以守本，为快不破！悬镜供应链安全情报中心AI 原生安全筑内核，守护新一代数字供应链安全AI 原生安全筑内核，守护新一代数字供应链安全11. 引 言随着大语言模型（LLM）的逐步成熟、对话式智能体的广泛验证、AI 场景化训练数据的快速积累，以及企业对智能化与目标驱动型 AI 应用的迫切需求，越来越多的企业将 AI 数智化转型作为提升核心竞争力的关键，其中 Agentic AI 的应用成果不仅依赖于单一的技术突破，更在于构建系统性、端到端的落地能力，同时也催生新型 AI 原生安全风险与数字供应链治理挑战。2025 年是开源供应链攻击威胁加速深化的一年，尤其是针对开源生态的恶意投毒进一步向自动化与复杂化快速演进。从 NPM、PyPI 等主流仓库的批量投毒，到 IDE 扩展市场的定向投毒，再到Agentic AI 生态的新型投毒攻击，整体呈现出攻击范围扩大化、技术手段智能化以及对抗方式多样化等鲜明趋势。这一年，开源生态发生多起影响重大的供应链投毒事件，其中 NPM 仓库连续两次 Shai-Hulud (代号"沙虫") 恶意蠕虫大规模爆发成为开源供应链投毒攻击的标志性事件，开源生态的信任基石也遭遇极大冲击。子芽悬镜安全创始人编委：Random（蔡智强）、宁戈、王越、王雪松、陈超、武立朋技术支撑：悬镜供应链安全情报中心AI 原生安全筑内核，守护新一代数字供应链安全22. 供应链投毒攻击态势在 2025 年，悬镜安全情报中心通过持续监控全网主流开源生态平台和 Agentic AI 生态社区，对潜藏恶意代码风险的投毒包（涉及开源组件、IDE 扩展插件、AI 模型、Agent MCP 及 Agent Skill工具等）进行供应链安全智能审查，总共识别 56928 个存在真实恶意行为及攻击意图的投毒包，总量相较于 2024 年（约为 3.6w）显著提升 58%。其中 NPM 公共仓库的代码投毒占比超过 92%。Pypi 公共仓库由于在 2024 年遭受集中式投毒后加强平台安全防护机制（启用账户双因子认证等措施），2025 年 Pypi 仓库投毒占比为 4.49%，相较 2024 年呈现轻微下降趋势。AI 模型托管平台HuggingFace 已成为恶意模型投放的主要平台，超过 940 多个模型文件被攻击者实施投毒。此外，针对 IDE 扩展市场（以 VS Code 为主）、Ruby 及 Go 生态的投毒攻击也日趋频繁。AI 原生安全筑内核，守护新一代数字供应链安全32025 年开源生态恶意投毒分布情况针对所有恶意投毒包，我们通过多维数字供应链安全纵深分析与溯源评估，识别出投毒包使用的攻击方式及其关键恶意行为标签。投毒包主要攻击方式其中，投毒者最常用的攻击方式依旧是恶意代码内嵌执行（51.58%），其攻击流程主要利用主流包管理器中的安装指令在组件包安装或加载时静默执行内嵌在源码文件中的恶意代码。系统命令执行（31.13%）、恶意文件下载执行（9.82%）、恶意文件释放执行（5.09%）、恶意代码内存执行（1.77%）以及系统文件篡改（0.56%）都是攻击者惯用的投毒手段。此外，随着 Agentic AI的规模化应用，借助提示词进行恶意语义攻击（提示词注入、语义误导等）也逐渐成为攻击者针对AI 原生安全筑内核，守护新一代数字供应链安全4AI 开源生态投毒的主要新型攻击方式之一。投毒包恶意行为标签在所有恶意投毒包中，信息窃取攻击仍居高位，占比达 83.8%，其中系统平台信息、系统密码文件、网络配置、用户信息、主流浏览器 Cookie/登录凭证、数字钱包应用数据以及各类业务凭证口令（包括 Github Token、NPM Token、云服务 Access Key ID/Secret 等）皆为攻击者主要窃取目标。其次，通过远控木马和反连 Shell 后门进行远控攻击事件也呈逐年上涨趋势。此外，针对 AgenticAI 开源生态的投毒攻击，除了提示词注入，AI 模型文件恶意代码注入、伪装 AI 模型 SDK、Stdio模式的 Agent MCP Server 及 Skill 包的恶意语义误导及代码投毒都是攻击者常用的 AI 供应链投毒攻击行为。AI 原生安全筑内核，守护新一代数字供应链安全53. 供应链投毒案例分析本节将从 2025 年恶意投毒包中选取部分代表性样本进行技术分析，还原投毒攻击细节以及攻击者常用的对抗技术。3.1 Agentic AI 生态 AI 模型文件序列化代码注入投毒主流深度学习框架（PyTorch、TensorFlow 等）训练生成的模型文件（权重及 checkpoint数据）通常会使用 Python 的 pickle 模块进行模型数据序列化存储。而由于 pickle 模块反序列时可重写对象__reduce__方法实现反序列化代码执行，因此攻击者可利用该特性将恶意代码序列化嵌入到模型文件中并发布到开源模型托管平台（HuggingFace、ModelScope 等），当开发者使用torch.load()等接口直接加载模型文件时，将静默触发执行内嵌在模型文件中的恶意代码，导致供应链攻击。以HuggingFace 平 台playedalive/mdy-red-1 项 目 为 例 ， 如 下 图 所 示 ， 其 模 型 文 件model.pkl 被植入反序列恶意 python 代码，主要功能是反向 shell 远控后门，远控服务器地址及端口为：52.48.12.202:8080。AI 原生安全筑内核，守护新一代数字供应链安全6恶意模型项目模型文件内嵌恶意代码AI 原生安全筑内核，守护新一代数字供应链安全7 Agent MCP Server 提示词注入MCP (Model Context Protocol，模型上下文协议) 是 LLM 模型与外部工具交互的开放标准，MCP Server 是实现该协议的工具服务端。MCP Server 提示词注入原理在于利用 LLM 模型无法正确区分数据与指令及其对上下文输入的高度依赖性等特性，攻击者通过在与模型交互的数据源中植入恶意指令，诱导模型执行非预期操作，甚至可进一步实现对 AI Agent 的行为劫持与权限滥用。以 Python 仓库组件 wei516-tpa 为例，该组件伪装成提供天气服务的 MCP Server，该 MCP服务提供了 weather_info() 工具接口，并在工具描述里使用 <SYSTEM_DIRECTIVE> 标签尝试伪装成系统指令进行提示词注入攻击，指令主要功能是诱导 AI 应用系统对任意可读目录下的api_key.txt 文件内容追加 FLAG 标记位。MCP 工具描述植入恶意提示词 Agent Skill 恶意指令投毒Skill 技能包作为 AI Agent 的外部功能扩展模块，其原生具备比 MCP Server 更高权限的执行环境以及与模型交互能力，但由于目前大部分 Skill 市场缺乏严格的安全审查机制，导致 SkillAI 原生安全筑内核，守护新一代数字供应链安全8市场面临来自攻击者的代码投毒及恶意指令滥用等风险。第三方 Skill 的集成引入已经成为 Agent系统面临的最危险