从 npm 到 PyPI，再到 Microsoft 仓库：AI 调用链正被一条蠕虫锁死三个点

2026 年 6 月的前十天，一条蠕虫在全球开源生态里完成了一次教科书级别的战略纵深推进。它从 AI 工具的 npm 依赖出发，经 Python 科学计算包，一路打到微软 73 个开源仓库；同一周，AI 调用网关 LiteLLM 被曝出命令注入漏洞并已遭在野利用，CISA 将其列入「已知被利用漏洞」目录。

三个方向，一个结论：AI 调用链从包管理到推理网关，每一个环节现在都是单独的攻击入口。

去年 9 月首次现身的 Shai-Hulud 供应链蠕虫，今天有了一个新名字——Hades。Socket 安全研究团队于 2026 年 6 月 8 日发布报告，详述了这条蠕虫最新的 PyPI 攻击波：19 个 Python 包共 37 个恶意 wheel，主要覆盖生物信息学与图机器学习生态。1

从 2025 年 9 月至今，Shai-Hulud 的演化节点如下：初代 npm 感染自我复制、窃取仓库账号；11 月变种加入 wiper（数据擦除）能力；12 月更新为能盗取 AWS/GCP/Azure 云凭证；2026 年 4 月出现 Mini Shai-Hulud/Miasma 分支，专门针对 AI 工具（Claude、Cursor、Gemini）及 Red Hat Cloud Services npm 包；6 月 Hades 变种向 PyPI 生态扩张，并在同期攻入 Microsoft 的 Azure GitHub 组织。2

这次被命中的包不是普通工具库。dynamo-release（单细胞 RNA 速度分析工具）、spateo-release（空间转录组分析）、coolbox（多组学可视化）、ufish（深度学习 FISH 点检测）——都是学术与生物医疗 AI 研究团队依赖的核心计算包。攻击者之所以盯上这类包，因为装它的环境通常拥有高权限：论文服务器、云端 GPU 集群、与医疗数据交互的科研工作站。

技术上的突破在于对 .pth 文件的滥用。Python 的 .pth 机制本是用来扩展模块搜索路径的——但 Python 原生支持以 import 开头的可执行行，这些行在每次 Python 启动时自动执行，不需要用户主动 import 那个被感染的包。Socket 的描述是：「依赖安装等于制造了一个持久化的延迟执行触发器。」1

payload 的执行链路很干净：在临时目录写入哨兵文件避免重复触发 → 从 GitHub 下载 Bun v1.3.13 → 用 Bun 运行混淆的 _index.js，窃取 Anthropic API 令牌、GitHub Actions token、AWS/GCP/Azure 凭证、SSH 密钥、.env 文件和 CI/CD 机密，全部外传。

攻击者还留了一道后门：会尝试投毒 Claude/MCP 的配置文件，在开发者的 AI 工具里植入持久化机制。

Hades 波之前四天，Miasma 变种已经完成了一次更大规模的突破。2026 年 6 月 5 日，Miasma 蠕虫渗入微软 Azure GitHub 组织，注入恶意提交，GitHub 随后禁用了四个 Microsoft GitHub 组织下共 73 个仓库。3 截至发稿，部分仓库已恢复，但调查仍在持续。4

Shai-Hulud 系列攻击的目标是供应链入口，而 LiteLLM CVE-2026-42271 的出现，让整个问题往后延伸了一段。

LiteLLM 是目前使用最广泛的 AI 模型调用统一网关，企业用它来聚合对 Claude、GPT-4、Gemini 等各类模型的 API 调用，并做统一的鉴权、限速和日志。换句话说，它是企业 AI 调用链的流量总闸。

CISA 于 2026 年 6 月 9 日将 CVE-2026-42271 列入已知被利用漏洞（KEV）目录——这意味着攻击者已在实际环境中利用此漏洞，而非只是理论 PoC。该漏洞为命令注入，可链式触发无需认证的远程代码执行（Unauthenticated RCE）。5

攻入 LiteLLM 意味着什么？拿到 RCE 的攻击者可以完整读取该网关上所有流经的 AI 请求——包括用户上传的文档、系统提示词、返回的推理结果。所有进出 AI 模型的明文数据，在 RCE 成功的那一刻，全部暴露。

上面两个攻击向量针对开发者和企业 IT 团队。FROST 不同，它的目标是普通用户的浏览器隐私。

来自学术界的新研究揭示了一种利用 SSD 时序侧信道的攻击手法：当用户在浏览器里打开某个 AI 助手页面，或使用本地 AI 应用时，恶意网站可以通过 JavaScript 和 Origin Private File System（OPFS）的 SSD 访问争用特征（Contention Timing），以 88.95% 的 F1 精度识别出用户同时打开了哪些其他网站和应用。6

实际意味着：用户打开了哪家医院的 AI 问诊系统、查询了什么金融 AI 服务，甚至在本地跑什么 AI 工具，都可以被同一设备上的恶意页面推断出来。浏览器同源策略在 SSD 层面不存在隔离效果。

这个攻击面不依赖任何漏洞，只利用 SSD 访问争用这一硬件特性——在无需任何 CVE 编号的情况下，追踪用户的 AI 使用行为本身。

把三件事放在一起看：Hades 染毒 AI 科研包 → 开发者安装时凭证被盗；LiteLLM 网关 RCE → 企业 AI 请求全量外泄；FROST 侧信道 → C 端用户 AI 使用行为被追踪。

蠕虫在 pipeline 入口等，漏洞在 pipeline 中段守，侧信道在用户行为层看。三个锁点，全链路覆盖。

现有的防御思路——轮换凭证、打补丁、禁止恶意脚本——是在每个锁点上逐一堵漏。但问题的根源没有变：AI 推理发生时，用户的数据是明文的。 明文数据一旦进入可访问内存，就暴露在供应链投毒、网关 RCE、侧信道等任意一个方向的攻击中。

荆华密算的密态 AI 推理系统从架构层处理这个问题：让 AI 模型在加密状态下完成推理，明文数据不在任何可访问内存空间出现。不管攻击者是从包管理器入场、从 AI 网关 RCE 拿 shell，还是从 SSD 时序测量，他们拿到的都是密文，没有可用的推理上下文。面向 C 端的全链路密态 AI 助手已于 2026 年 6 月 1 日开启内测——这正是 FROST 类攻击所针对的使用场景。

Shai-Hulud 用了九个月完成五次进化。AI 调用链的暴露面，还需要多久才能真正从架构上收紧？