【AI时代的第一场瘟疫：当“糊涂码农”遇上智能Agent】

微软最近紧急下架了73个GitHub仓库，起因是一场针对AI开发者和Agent的供应链攻击。这事有意思的地方在于，黑客不费吹灰之力，直接在本地“钓鱼”程序员。

现在流行“Vibe Coding”（氛围感写代码），大家用Cursor、VSCode配合AI疯狂生成代码，却没人逐行审计。更致命的是，很多人图省事，直接把高权限的GitHub Token喂给AI Agent，这等于把保险箱钥匙贴在脑门上。

黑客利用这一点，只要你用IDE打开含有恶意配置的文件夹，甚至不用运行代码，蠕虫就会自动触发，偷走Token并顺藤摸瓜污染你权限内的所有仓库。

这给行业敲了警钟：开发工具在进化，但安全边界还停留在石器时代。把AI当成无所不能的“神谕”，却省去了最基本的沙箱隔离和权限最小化，效率提升的代价就是安全防线的全面失守。

techcrunch.com/2026/06/08/microsofts-open-source-tools-were-hacked-to-steal-passwords-of-ai-developers/