【报告摘要】 悬镜安全情报中心最新发布的《2025年开源供应链投毒攻击态势报告》揭示了一组触目惊心的数字：2025年全年识别56,928个存在真实恶意行为的投毒包，总量较2024年（约3.6万个）显著提升58%。更值得警惕的是，针对HuggingFace、MCP Server、Agent Skill等AI生态的攻击在过去18个月内增长了近400%。这份基于数亿级开源组件情报分析的报告，首次系统性地揭示了全球开源供应链投毒攻击的全景图。

【核心结论】 开源供应链已从“软件供应链安全”演进为“AI+软件双重供应链安全”的新战场。

一、2025年投毒攻击全景数据

1.1 总览：投毒包数量激增58%

年份	检测投毒包数量	同比增长
2024	约36,000个	—
2025	56,928个	+58%

1.2 仓库分布：NPM是重灾区

仓库	投毒占比	趋势
NPM	>92%	持续增长
PyPI	4.49%	轻微下降（因安全防护加强）
Maven	<2%	相对稳定
Go	<1%	稳定

NPM仓库占比超过92%，是投毒攻击的主要目标。PyPI仓库因加强了安全防护，2025年投毒占比呈轻微下降趋势。

1.3 AI生态成为新目标

• HuggingFace：超过940个模型文件被攻击者投毒，主要利用Python pickle模块反序列化特性

• MCP Server提示词注入：攻击者在工具描述中植入伪装成系统指令的恶意提示词，诱导AI执行非预期操作

• Agent Skill投毒：第三方Skill市场成为高危攻击面，3,325个包中检测出452个高危恶意Skill包

针对AI生态的攻击事件在过去18个月内增长了近400%。

二、攻击技术与恶意行为分析

2.1 主要攻击方式

攻击方式	占比
恶意代码内嵌执行	51.58%
系统命令执行	31.13%
依赖混淆/域名抢注	8-10%
提示词注入（针对AI生态）	新类型

恶意代码内嵌执行是最常用方式，占比过半。

2.2 主要恶意行为

恶意行为类型	占比
信息窃取（凭证、Cookie、密钥）	83.8%
加密货币挖矿	约8%
后门/远程控制	约5%
数据破坏	约3%

信息窃取是投毒攻击的首要目的（83.8%），目标包括系统凭证、浏览器Cookie、数字钱包数据及各类业务令牌（Github Token、云服务密钥等）。

2.3 高级对抗技术

2025年观察到的新型对抗技术：

1. 间接依赖攻击：在package.json中引用托管在外部高信誉平台（如谷歌云存储）的恶意依赖包，绕过静态检测和官方扫描

2. 动态混淆执行：恶意包从远程C2服务器拉取高度混淆的JS代码动态执行，无文件落盘，难以静态分析

3. 时间门控后门：恶意组件植入基于特定时间触发的后门（如“2025-10-13后激活”），在设定时间后才从远程下载并执行恶意代码

4. MCP Server提示词注入：利用AI Agent对“系统指令”的天然信任，通过在工具描述中嵌入<SYSTEM_DIRECTIVE>标签，诱导AI执行非预期操作

三、AI原生安全风险凸显

3.1 四大新型AI攻击面

攻击面	攻击方式	影响
模型文件投毒	利用pickle反序列化嵌入后门	加载即执行恶意代码
MCP Server注入	提示词注入伪装系统指令	AI执行非预期操作
Agent Skill投毒	恶意指令嵌入Skill文档	操纵Agent执行非法行为
RAG数据污染	向知识库注入恶意内容	模型输出被操控

3.2 HuggingFace投毒技术深度分析

攻击者利用Python pickle模块反序列化特性，将恶意代码嵌入模型文件（如.pkl文件）。当开发者使用torch.load()加载模型时，恶意代码会静默执行，可能包括反向Shell、信息窃取等。

防御建议：

• 优先使用安全的文件格式如safetensors

• 在模型加载前进行安全扫描

• 建立模型来源可信清单

四、防御体系演进建议

基于对2025年投毒攻击态势的深入分析，悬镜安全情报中心提出以下防御建议：

1. 多模态SCA审查：需引入支持“源码-二进制-运行时”全链路场景的多模态SCA检测能力，覆盖传统资产及AI生态热点资产（模型文件、MCP、Skill等）

2. 全生命周期SBOM管理：构建动态、透明的SBOM，在软件构建、测试、部署等各环节实时更新，并联动投毒情报进行精准响应

3. 联动供应链投毒情报预警：接入第三方权威情报源，构建“情报—SBOM—DevSecOps”三位一体联动机制

4. AI原生安全治理：对模型、数据集建立全流程管控，在开发流水线中嵌入AI驱动的原生安全审查