JavaScript 生態再度爆出重大安全事件。AI 領域重量級人物 Andrej Karpathy 近日公開示警,知名 HTTP 套件 axios 遭遇供應鏈攻擊,恐影響每週高達 3 億次下載的開發環境。更令人擔憂的是,在 AI 自動化開發盛行的當下,這類攻擊正透過「無人審核的依賴安裝流程」快速擴散,讓原本可控的風險演變為大規模安全威脅。
Table of Contents
Karpathy 在 X 上指出,這次攻擊鎖定 npm 生態中最廣泛使用的 HTTP 客戶端 axios,直言這是一次「高度危險的供應鏈事件」。
他分享自身經歷時透露,近期測試一個整合 Gmail 與 Google Calendar 的 CLI 專案時,系統曾自動安裝 axios。幸運的是,當時解析到的版本為安全的 1.13.5。但他也坦言,該專案並未鎖定版本(unpinned dependency):「如果我今天早一點執行,系統就會抓到最新版本,我可能已經被入侵(pwned)了。」
這個「時間差」案例,清楚揭示供應鏈攻擊的隱蔽性與隨機性——被入侵與否,有時只差幾個小時。
Karpathy 強調,問題不僅是單一漏洞,而是整個套件管理機制的設計缺陷。目前 npm、pip 等主流套件管理工具,預設會安裝「最新版本」,這讓攻擊者只需短時間釋出惡意版本,就能在全球範圍內隨機感染開發者環境。他直言:「套件管理的預設行為必須改變,否則單點感染就能透過未鎖定依賴在大規模用戶中擴散。」
更關鍵的是,AI 工具的普及正在放大這個問題。包括 Claude Code、Devin 等自動化 coding agent,已能代表開發者執行 npm install 或 pip install,且通常直接採用最新版本,缺乏人工審核。這種「AI 自動安裝依賴」的模式,正成為供應鏈攻擊的理想傳播途徑。
此次攻擊最早由 Socket Security 研究員 Feross Aboukhadijeh 揭露。調查發現,兩個受污染版本——[email protected] 與 [email protected]——內部偷偷引入一個全新套件 [email protected],而該套件在攻擊前根本不存在於 npm 上。
進一步分析顯示,這是一個典型的「安裝器型惡意程式(installer malware)」,具備執行 shell 指令、下載並部署後續 payload、混淆程式碼以躲避偵測,以及清除痕跡等能力。雖然 npm 官方已迅速下架相關惡意版本,但對於未鎖版本或 lockfile 過期的專案而言,風險仍然存在。
這起事件對加密貨幣與 AI 開發者的衝擊尤為嚴重,原因在於 axios 幾乎是所有 Web3 基礎設施的核心依賴之一,廣泛應用於錢包(如 MetaMask、Phantom)、去中心化交易所前端(如 Uniswap)、NFT 平台與鏈上數據工具。一旦惡意程式透過依賴鏈進入專案,可能導致私鑰外洩、API 金鑰被盜、簽名環境遭入侵,進而讓用戶資產面臨風險。
Karpathy 指出,「vibe coding」(直覺式開發)與 AI agent 的結合,已讓這類攻擊從「低頻風險」轉變為「高速擴散威脅」。
面對此次事件,業界建議開發者立即透過 npm ls axios 確認當前使用版本,並鎖定在安全版本(如 1.13.5 或 1.14.0)。同時確保 lockfile 完整且未過期,以避免解析到惡意版本。
此外也建議導入自動化安全掃描工具,例如 Socket Security、StepSecurity 或 Trivy。對於 AI 開發流程,則需特別加入「依賴審核機制」,避免 agent 在無監控情況下直接安裝套件。
這次 axios 事件再次證明,軟體供應鏈安全已進入全新階段。過去,攻擊者需鎖定特定目標;如今,只需污染熱門套件,即可透過自動化工具在全球開發環境中快速擴散。
Karpathy 的警告不只針對單一漏洞,而是對整個開發生態提出質疑:在自動化與效率至上的時代,開發者是否仍掌握最基本的安全控制權?當 AI 開始代替人類寫程式與安裝依賴,安全邊界也隨之改變——這或許才是此次事件最值得持續關注的核心。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
