传统防御全线失守，唯一出路竟是它？专家：把手机的安全沙盒模式搬到电脑上

MartinOdison.com 這篇文章的起點是一條乍看平凡的時間線：2025 年初到 3 月底，開源生態接連發生多起投毒事件。Treeway 這個專門用來發現安全漏洞的工具，諷刺地成了第一個受害者；接著是語音整合包 technix（週下載 15 萬次）；再來是大模型調用工具 LiteLLM（週下載 2200 萬次）；最後在 3 月 31 日，前端幾乎無處不在的 HTTP 客戶端 Axios（週下載逾 1 億次）也淪陷。每個惡意版本雖在數小時內被移除，但作者估算，光是這段短暫的窗口期就已有數萬台機器遭到感染，竊走的是雲端金鑰、SSH 憑證、瀏覽器 Cookie——開發者完全沒有察覺。

真正讓作者感到警觉的不是單次攻擊的規模，而是這場危機的自我複製機制。攻擊者並非獨立作戰，他們把上一次入侵竊取到的發布令牌，拿去污染供應鏈上的下一個目標。一名被感染的開發者恰好是另一個開源項目的維護者，攻擊者便以他的身份簽署並推送惡意版本——被攻陷的節點像滾雪球一樣越滾越大。npm 為此推出了短時效令牌、24 小時發布延遲、以及分階段發布搭配雙重驗證，但這輪攻擊似乎繞過了令牌限制；而 24 小時延遲在攻擊者眼中反而是拓展戰果的緩衝時間；若開發者本機已被完全控制，「人工確認」的步驟也可由攻擊者代勞。平台層面的補丁每一個都有致命的邏輯缺口。

在所有變數中，作者最憂慮的是大型語言模型扮演的「助燃劑」角色。雖然難以百分之百舉證，但 LLM 輔助漏洞發現的非惡意研究案例正在爆炸式增長；作者本人不到 30 分鐘便用 AI 找到一個仍未修復的真實漏洞。更令人不安的是，傳聞中 Anthropic 下一代模型在安全問題發現能力上比現有最強模型高出一個數量級，趨勢方向毋庸置疑。LLM 一方面讓發現漏洞的門檻趨近於零，另一方面也讓攻擊者能在數小時內生成過去頂尖高手耗費數週才能設計出的複雜隱匿手法——例如將惡意 payload 藏進音頻文件。當攻擊速度被拉到機器級別，任何依賴人工節奏的防禦機制，本質上都已跟不上。

面對這個困局，作者的論點最終指向一個激進卻清晰的方向：安全防線必須從應用層徹底下沉到作業系統層。他以 XKCD 那幅著名漫畫為引——現代數字基礎設施這座巨塔，底部支撐的是內布拉斯加州某位志願者從 2003 年無償維護的一塊積木——點出開源生態大量依賴資源匱乏的個人維護者，根本無力抵擋 LLM 助燃的洪水級攻擊。真正的解藥，是仿照 iOS/Android 的沙盒設計哲學，讓作業系統知道 `npm install` 只能寫入特定專案目錄、CI/CD 流程只能連接已知白名單網址、任何程序未經授權不得讀取他人數據——Qubes OS 已是最接近理想的現實參考。這種模型不能杜絕所有攻擊，但它能把每次成功入侵的爆炸半徑壓縮到最小，讓被感染的包無法再竊取足夠的憑證去傳染下一個目標，從而將供應鏈攻擊的基本再生數 R0 壓到 1 以下，真正斬斷這條惡性循環的鏈條。