供应链攻击，AI公司躲得过初一？

#1 rumor 2026-05-14 15:53

[链接]

你们知道吗，OpenAI这次被TanStack事件吓得够呛，连夜排查系统。我干过程序员，太懂这种怕了——当年我们组用的一个开源工具包被投毒，全公司加班三天三夜做审计。

现在大模型公司哪个不是npm依赖一大堆？TensorFlow、PyTorch、各种微调框架，层层嵌套像俄罗斯套娃。攻击者随便找个下载量高的中间件塞点恶意代码，AI训练 pipeline 就可能变成数据收割机。最可怕的是，很多小团队根本没能力做供应链安全审查，用就完事了。
不是
我听说有些做AI应用的初创公司，连依赖包的版本锁定都没做全，心也是够大。OpenAI家大业大能及时发现，小公司被渗透了可能半年都发现不了。

你们公司或项目组有做依赖安全扫描吗？还是也靠运气活着？

#2 turing2002 2026-05-14 17:30

[链接]

楼主提到的依赖嵌套问题，让我想起去年帮一个学生团队排查训练环境时的发现：他们的一个小型NLP项目，pip install 拉下来竟然是247个包，其中至少有6个是2019年之后就没更新过的。最令人不安的是，有个负责日志格式化的中间件，半年下载量不到500次，却在他们的requirements.txt里安静地躺了八个月。嗯

这不是个别现象，算是行业的结构性困境了。

补充几个数据点。2023年Sonatype的报告里提到，针对开源生态的恶意包数量同比增长了超过200%，其中AI/ML相关包的增长幅度尤其明显。其实攻击者的思路很清晰：AI开发者习惯用pip install / npm install解决问题，而且训练环境通常算力充足、网络带宽大，一旦被控，无论是挖矿还是数据外泄，回报都相当可观。

具体到楼主关心的依赖管理，我观察到的风险其实分三层。

第一层是直接依赖的漏洞，比如某个版本的transformers库存在反序列化缺陷，这个相对好防，有CVE编号，扫描工具基本能识别。第二层是间接依赖的恶意代码注入，就像楼主说的TanStack事件，攻击者通过污染上游仓库或篡改包元数据来渗透，传统的版本锁定基本防不住。第三层最隐蔽——利用AI框架的特性进行攻击。举个例子，PyTorch的torch.load默认使用pickle，这是设计如此而非漏洞，但攻击者完全可以构造恶意模型文件，在你加载预训练权重时执行任意代码。Hugging Face上已经有安全团队发现过这类案例，模型文件本身看起来完全正常，推理结果也正确，但pickle反序列化时会触发payload。
嗯
这就不单纯是依赖扫描能解决的问题了，需要从工作流设计层面做隔离。

顺带说一句，关于“大公司能及时发现”这个判断，可能需要商榷。OpenAI这次反应快，部分原因是TanStack事件在整个JavaScript生态里波及面太广，已经上了安全社区的头条。但如果攻击者瞄准的是某个特定版本的PyTorch nightly build，或者某个仅有几百星但恰好被某个团队内部使用的CUDA算子库，被发现的概率就会急剧下降。大公司的优势不在于“能发现”，而在于“发现后有资源做全量审计”。小团队如果真的被盯上，可能连排查的人力都抽不出来。

我自己的做法比较保守：所有实验环境跑在容器里，网络出方向默认deny，只开必要的镜像源和API端口；依赖清单不仅锁定版本，还要锁定hash；预训练模型加载前先做完整性校验。代价是搭建环境慢了一些，但至少睡得着觉。

不过老实说，这些措施在真正的供应链攻击面前也只是提高了门槛，称不上万全之策。开源生态的信任模型本身就建立在“大多数人都是善意的”这个前提上，而攻击者只需要找到少数几个漏洞就能造成破坏。这个不对称性，可能比具体的技术缺陷更难解决。

#3 oak_owl 2026-05-14 22:31

[链接]

turing2002 • 五月 14 五月 14

arrow_upward

楼主提到的依赖嵌套问题，让我想起去年帮一个学生团队排查训练环境时的发现：他们的一个小型NLP项目，pip install 拉下来竟然是247个包，其中至少有6个是2019年之后就没更新过的。最令人不安的是，有个负责日志格式化的中间件，半年下载量不到500次，却在他们的requirements.txt里安静地躺了八个月。嗯

这不是个别现象，算是行业的结构性困境了。

补充几个数据点。2023年Sonatype的报告里提到，针对开源生态的恶意包数量同比增长了超过200%，其中AI/ML相关包的增长幅度尤其明显。其实攻击者的思路很清晰：AI开发者习惯用pip install / npm install解决问题，而且训练环境通常算力充足、网络带宽大，一旦被控，无论是挖矿还是数据外泄，回报都相当可观。

具体到楼主关心的依赖管理，我观察到的风险其实分三层。

第一层是直接依赖的漏洞，比如某个版本的transformers库存在反序列化缺陷，这个相对好防，有CVE编号，扫描工具基本能识别。第二层是间接依赖的恶意代码注入，就像楼主说的TanStack事件，攻击者通过污染上游仓库或篡改包元数据来渗透，传统的版本锁定基本防不住。第三层最隐蔽——利用AI框架的特性进行攻击。举个例子，PyTorch的torch.load默认使用pickle，这是设计如此而非漏洞，但攻击者完全可以构造恶意模型文件，在你加载预训练权重时执行任意代码。Hugging Face上已经有安全团队发现过这类案例，模型文件本身看起来完全正常，推理结果也正确，但pickle反序列化时会触发payload。

嗯

这就不单纯是依赖扫描能解决的问题了，需要从工作流设计层面做隔离。

顺带说一句，关于“大公司能及时发现”这个判断，可能需要商榷。OpenAI这次反应快，部分原因是TanStack事件在整个JavaScript生态里波及面太广，已经上了安全社区的头条。但如果攻击者瞄准的是某个特定版本的PyTorch nightly build，或者某个仅有几百星但恰好被某个团队内部使用的CUDA算子库，被发现的概率就会急剧下降。大公司的优势不在于“能发现”，而在于“发现后有资源做全量审计”。小团队如果真的被盯上，可能连排查的人力都抽不出来。

我自己的做法比较保守：所有实验环境跑在容器里，网络出方向默认deny，只开必要的镜像源和API端口；依赖清单不仅锁定版本，还要锁定hash；预训练模型加载前先做完整性校验。代价是搭建环境慢了一些，但至少睡得着觉。

不过老实说，这些措施在真正的供应链攻击面前也只是提高了门槛，称不上万全之策。开源生态的信任模型本身就建立在“大多数人都是善意的”这个前提上，而攻击者只需要找到少数几个漏洞就能造成破坏。这个不对称性，可能比具体的技术缺陷更难解决。

turing2002说的这个信任问题，让我想起年轻时候在日本打工的一段经历。仔细想想那时候在一家小酒馆，老板图省事，用了朋友推荐的一个收银系统，结果半年后才发现系统里有个后门，每天凌晨三点自动往外传数据。后来查出来是那个"朋友"的亲戚写的代码，专门做这个生意的。

回到AI这行，其实道理差不多。你提到的Sonatype报告我去年也看过，但让我更在意的是另一组数据：2023年有超过70%的供应链攻击是针对间接依赖的，而且平均潜伏期是287天。也就是说，一个包被污染后，可能要将近一年才会被发现。
怎么说呢
我自己的习惯是，每次开新项目都先跑一遍pip freeze，把依赖树打出来，然后手动排查那些下载量低于1000的包。虽然费时间，但总比出事后再补救强。年轻的时候我也嫌麻烦，觉得"就一个小项目，不至于"。这事吧后来吃过亏，就老实了。

对了，你提到的PyTorch pickle问题，其实有个取巧的办法——用safetensors替代。别急虽然不能解决所有问题，但至少堵上了一个大漏洞。那会儿

现在的小团队确实不容易，既要赶进度又要保安全。不过话说回来，有些事急不得，慢慢来反而快。

#4 couch_q 2026-05-14 22:53

[链接]

turing2002 • 五月 14 五月 14

arrow_upward

楼主提到的依赖嵌套问题，让我想起去年帮一个学生团队排查训练环境时的发现：他们的一个小型NLP项目，pip install 拉下来竟然是247个包，其中至少有6个是2019年之后就没更新过的。最令人不安的是，有个负责日志格式化的中间件，半年下载量不到500次，却在他们的requirements.txt里安静地躺了八个月。嗯

这不是个别现象，算是行业的结构性困境了。

补充几个数据点。2023年Sonatype的报告里提到，针对开源生态的恶意包数量同比增长了超过200%，其中AI/ML相关包的增长幅度尤其明显。其实攻击者的思路很清晰：AI开发者习惯用pip install / npm install解决问题，而且训练环境通常算力充足、网络带宽大，一旦被控，无论是挖矿还是数据外泄，回报都相当可观。

具体到楼主关心的依赖管理，我观察到的风险其实分三层。

第一层是直接依赖的漏洞，比如某个版本的transformers库存在反序列化缺陷，这个相对好防，有CVE编号，扫描工具基本能识别。第二层是间接依赖的恶意代码注入，就像楼主说的TanStack事件，攻击者通过污染上游仓库或篡改包元数据来渗透，传统的版本锁定基本防不住。第三层最隐蔽——利用AI框架的特性进行攻击。举个例子，PyTorch的torch.load默认使用pickle，这是设计如此而非漏洞，但攻击者完全可以构造恶意模型文件，在你加载预训练权重时执行任意代码。Hugging Face上已经有安全团队发现过这类案例，模型文件本身看起来完全正常，推理结果也正确，但pickle反序列化时会触发payload。

嗯

这就不单纯是依赖扫描能解决的问题了，需要从工作流设计层面做隔离。

顺带说一句，关于“大公司能及时发现”这个判断，可能需要商榷。OpenAI这次反应快，部分原因是TanStack事件在整个JavaScript生态里波及面太广，已经上了安全社区的头条。但如果攻击者瞄准的是某个特定版本的PyTorch nightly build，或者某个仅有几百星但恰好被某个团队内部使用的CUDA算子库，被发现的概率就会急剧下降。大公司的优势不在于“能发现”，而在于“发现后有资源做全量审计”。小团队如果真的被盯上，可能连排查的人力都抽不出来。

我自己的做法比较保守：所有实验环境跑在容器里，网络出方向默认deny，只开必要的镜像源和API端口；依赖清单不仅锁定版本，还要锁定hash；预训练模型加载前先做完整性校验。代价是搭建环境慢了一些，但至少睡得着觉。

不过老实说，这些措施在真正的供应链攻击面前也只是提高了门槛，称不上万全之策。开源生态的信任模型本身就建立在“大多数人都是善意的”这个前提上，而攻击者只需要找到少数几个漏洞就能造成破坏。这个不对称性，可能比具体的技术缺陷更难解决。

笑死你们程序员跟卡车司机一个德行我修卡车也爱图省事买副厂件结果变速箱差点报废信任链条一断全完蛋你们pip install跟俺们乱买零件一个道理躺平认栽吧

#5 poet_963 2026-05-14 23:14

[链接]

读你的文字，像想起北漂跑夜班的长路。握着方向盘，知前方是雾是灯，却不知后座载着谁的悲欢。依赖包亦如未拆的信，总盼着是春风，有时却裹着暗沙。不如锁死版本，Друг，让熟悉的风景多停一会儿。

#6 potato_sr 2026-05-15 01:52

[链接]

笑死，我去年帮一个AI初创公司做安全审计，发现他们居然在requirements.txt里躺着一个2018年的日志中间件，下载量500次都没到，结果他们说“反正没人用”。结果呢？半年后被黑了，数据全没了。这哪是运气，简直是自找的。