1、AI 原生安全筑内核，守护新一代数字供应链安全1攻以守本，为快不破！悬镜供应链安全情报中心AI 原生安全筑内核，守护新一代数字供应链安全AI 原生安全筑内核，守护新一代数字供应链安全11.引引 言言随着大语言模型（LLM）的逐步成熟、对话式智能体的广泛验证、AI 场景化训练数据的快速积累，以及企业对智能化与目标驱动型 AI 应用的迫切需求，越来越多的企业将 AI 数智化转型作为提升核心竞争力的关键，其中 Agentic AI 的应用成果不仅依赖于单一的技术突破，更在于构建系统性、端到端的落地能力，同时也催生新型 AI 原生安全风险与数字供应链治理挑战。2025 年是开源供应链攻击威胁加速深化的

2、一年，尤其是针对开源生态的恶意投毒进一步向自动化与复杂化快速演进。从 NPM、PyPI 等主流仓库的批量投毒，到 IDE 扩展市场的定向投毒，再到Agentic AI 生态的新型投毒攻击，整体呈现出攻击范围扩大化、技术手段智能化以及对抗方式多样化等鲜明趋势。这一年，开源生态发生多起影响重大的供应链投毒事件，其中 NPM 仓库连续两次 Shai-Hulud(代号沙虫)恶意蠕虫大规模爆发成为开源供应链投毒攻击的标志性事件，开源生态的信任基石也遭遇极大冲击。子芽悬镜安全创始人编委：Random（蔡智强）、宁戈、王越、王雪松、陈超、武立朋技术支撑：悬镜供应链安全情报中心AI 原生安全筑内核，守护新一代

3、数字供应链安全22.供应链投毒攻击态势供应链投毒攻击态势在 2025 年，悬镜安全情报中心通过持续监控全网主流开源生态平台和 Agentic AI 生态社区，对潜藏恶意代码风险的投毒包（涉及开源组件、IDE 扩展插件、AI 模型、Agent MCP 及 Agent Skill工具等）进行供应链安全智能审查，总共识别 56928 个存在真实恶意行为及攻击意图的投毒包，总量相较于 2024 年（约为 3.6w）显著提升 58%。其中 NPM 公共仓库的代码投毒占比超过 92%。Pypi 公共仓库由于在 2024 年遭受集中式投毒后加强平台安全防护机制（启用账户双因子认证等措施），2025 年 Py

4、pi 仓库投毒占比为 4.49%，相较 2024 年呈现轻微下降趋势。AI 模型托管平台HuggingFace 已成为恶意模型投放的主要平台，超过 940 多个模型文件被攻击者实施投毒。此外，针对 IDE 扩展市场（以 VS Code 为主）、Ruby 及 Go 生态的投毒攻击也日趋频繁。AI 原生安全筑内核，守护新一代数字供应链安全32025 年开源生态恶意投毒分布情况针对所有恶意投毒包，我们通过多维数字供应链安全纵深分析与溯源评估，识别出投毒包使用的攻击方式及其关键恶意行为标签。投毒包主要攻击方式其中，投毒者最常用的攻击方式依旧是恶意代码内嵌执行（51.58%），其攻击流程主要利用主流包管

5、理器中的安装指令在组件包安装或加载时静默执行内嵌在源码文件中的恶意代码。系统命令执行（31.13%）、恶意文件下载执行（9.82%）、恶意文件释放执行（5.09%）、恶意代码内存执行（1.77%）以及系统文件篡改（0.56%）都是攻击者惯用的投毒手段。此外，随着 Agentic AI的规模化应用，借助提示词进行恶意语义攻击（提示词注入、语义误导等）也逐渐成为攻击者针对AI 原生安全筑内核，守护新一代数字供应链安全4AI 开源生态投毒的主要新型攻击方式之一。投毒包恶意行为标签在所有恶意投毒包中，信息窃取攻击仍居高位，占比达 83.8%，其中系统平台信息、系统密码文件、网络配置、用户信息、主流浏览

6、器 Cookie/登录凭证、数字钱包应用数据以及各类业务凭证口令（包括 Github Token、NPM Token、云服务 Access Key ID/Secret 等）皆为攻击者主要窃取目标。其次，通过远控木马和反连 Shell 后门进行远控攻击事件也呈逐年上涨趋势。此外，针对 AgenticAI 开源生态的投毒攻击，除了提示词注入，AI 模型文件恶意代码注入、伪装 AI 模型 SDK、Stdio模式的 Agent MCP Server 及 Skill 包的恶意语义误导及代码投毒都是攻击者常用的 AI 供应链投毒攻击行为。AI 原生安全筑内核，守护新一代数字供应链安全53.供应链投毒案例分