Mastra 144 个 AI 包被投毒、Vertex 模型上传可被劫持:AI 工具链的风险正在改写边界
本期聚焦三类 AI 安全信号:Mastra npm 生态 144 个包被注入恶意依赖,Google Vertex AI SDK 曾因可预测 staging bucket 被用于模型上传劫持,Cisco SD-WAN 控制面漏洞进入 CISA KEV。文章后半段从工具链、模型通道和控制面风险过渡到荆华密算密态推理的价值:减少 AI 系统运行中的明文暴露窗口。
Vistazo a la investigación
本期把时间窗放宽到 6 月 15 日至 17 日,因为昨日上午之后披露的两条 AI 工具链事件需要和 6 月 15 日的控制面漏洞放在一起看:AI 系统先被改写的,往往不是最终模型,而是模型进入生产环境之前的包、桶、控制台和权限路径。
本期速览:四条线索指向同一个薄弱点
| 事件 | 发生了什么 | 对企业 AI 的含义 |
|---|---|---|
| Mastra npm 供应链攻击 | Cloudsmith 披露,攻击者用前贡献者凭据向 Mastra 生态 144 个包注入 easy-day-js 依赖;该依赖通过 postinstall 执行投递,能影响开发机和 CI/CD 环境。1 | AI Agent 框架不再只是业务依赖,它会接触 LLM API key、云凭证和流水线密钥。框架被投毒,影响会直接进入构建链。 |
| Google Vertex AI SDK 上传链路缺陷 | Unit 42 披露,Vertex AI Python SDK 1.139.0 和 1.140.0 在默认 staging bucket 逻辑中使用可预测命名且缺少所有权校验,攻击者可预先占桶并替换模型文件,最终在部署时触发 RCE;Google 已在 1.148.0 修复。2 | 云上 ML 流水线的临时存储和模型序列化格式,已经是生产推理面的入口。问题不在模型会不会「聪明」,而在模型文件是否真的来自你。 |
| Cisco SD-WAN Manager 再进 KEV | Cisco 6 月 15 日发布 CVE-2026-20262 通告:已认证攻击者可通过文件上传路径写入或覆盖任意文件,随后可能提权到 root,且没有 workaround;CISA 同日把该漏洞加入 KEV。34 | 企业把 AI 运维、网络编排和远程接入放在同一批控制面上之后,控制面被拿下,AI 系统的隔离边界也会被拖下水。 |
| EU AI Act Article 50 进入倒计时 | 欧盟 6 月 10 日发布 AI 生成内容透明度实践准则;Article 50 的生成内容标记、检测和 deepfake 标注义务将从 2026 年 8 月 2 日适用。5 | 合规要求正在从「能不能用 AI」转向「AI 生成、流转、展示时能否被识别和追责」。这会倒逼企业整理 AI 数据链路。 |
Mastra 事件最刺眼:AI 框架成了密钥入口
Mastra 是用于构建 AI Agent 和 RAG pipeline 的 TypeScript 框架。Cloudsmith 的复盘显示,攻击者先发布看似正常的
easy-day-js@1.11.21,再把 1.11.22 武器化;随后利用前贡献者 ehindero 未被撤销的 npm 权限,在一个多小时窗口里把恶意依赖推入 Mastra 生态。1这里最危险的不是「又一个 npm 包出事」。危险在于 Agent 框架默认处在高权限位置:它连接模型、检索库、工具调用、云服务和业务系统。Orca 的分析把受影响范围说得更直接:相关包用于构建 AI 应用,
@mastra/core 每周下载量约 91.8 万,安装后的恶意逻辑可收集浏览器数据、166 种加密钱包扩展凭据、CI/CD secret、LLM API key、SSH key 和数据库凭据。6这类攻击会让传统「上线后扫描」显得迟钝。等制品进入镜像仓库,很多密钥已经在安装阶段被读走。更现实的做法是把新包冷却期、锁文件、trusted publisher 强制校验、安装脚本默认禁用和凭据轮换放在同一个流程里做,而不是等 CVE 编号出来。
Vertex AI 暴露的是另一条路:模型上传通道也能被占位
Unit 42 把 Vertex AI SDK 缺陷命名为「Pickle in the Middle」。攻击路径很清楚:SDK 在用户没有指定
staging_bucket 时,会按项目 ID 和区域生成默认 bucket 名;攻击者如果提前猜到这个名字并在自己的项目中创建同名 bucket,SDK 只检查 bucket 是否存在,不校验它是否属于调用方项目。2攻击者随后利用 Cloud Function 监听上传事件,在约 2.5 秒窗口内把正常模型文件替换为带 payload 的
joblib/pickle 对象。模型部署后,服务容器反序列化对象,攻击者代码执行并可读取服务账号 token、环境变量和部分租户项目资源。2
这件事给企业的提醒很具体:AI 安全不是只做 prompt guardrail。模型注册、临时 bucket、序列化格式、服务账号权限和部署时的 artifact 校验,都应该进入 AI 风险评估。尤其是 pickle 这类可执行反序列化格式,不能再被当成普通模型文件处理。
Cisco 和欧盟给出两个外部压力:控制面要补,数据链路要留痕
Cisco 这次漏洞的 CVSS 基础分只有 6.5,因为利用需要低权限账号。但 Cisco 自己确认 2026 年 6 月已经观察到有限利用,CISA 也将其加入 KEV。34 这类「需要凭据」的漏洞,放在今天并不安全。Mastra 事件已经说明,开发和运维链条里的凭据可以被批量偷走;凭据一旦落到攻击者手里,中危漏洞就可能变成实际入口。
欧盟 Article 50 的压力则来自另一侧。实践准则明确把义务分成两类:provider 需要对 AI 生成或操纵的音频、图像、视频、文本做机器可读标记和检测;deployer 需要披露 deepfake 以及面向公共利益的 AI 生成文本。5 这并不是单纯给内容贴标签。企业要能说明内容从哪来、有没有经过人工审核、生成过程有没有责任主体。
回到荆华密算:真正要减少的是明文暴露窗口
这几条新闻放在一起,攻击入口各不相同:npm 依赖、云 bucket、SD-WAN 控制面、生成内容合规。但它们最后都会碰到同一个问题:AI 系统需要读取、处理、转发大量高价值数据,而这些数据在传统架构里经常以明文形式进入内存、日志、临时文件、模型上下文或第三方服务。
荆华密算的产品方向正是收缩这个明文窗口。钛媒体 3 月报道提到,荆华密算专注高性能 AI 密态计算,融资资金将用于密算平台、密态专用计算芯片和政企、金融、医疗、法律等场景落地;其方案通过重构 AI 计算算子,在不依赖 GPU-TEE 的情况下兼容国产异构 GPU,并把 AI 场景下密态计算时间损耗降低 3-4 个数量级。7
人民政协网 5 月报道还提到,荆华密算发布高性能密态训练引擎,目标是让语料在传输、存储、计算全流程以密文参与训练,形成「数据可用不可见」的流转方式。8
这不是说密态推理可以替代供应链治理、补丁管理或合规标注。Mastra 仍然要做包治理,Vertex 仍然要升级 SDK,Cisco 仍然要打补丁。但当攻击者已经进入某个通道时,密态推理能把损失面往回压:让外部模型服务、Agent 执行环境、临时推理节点更少接触可直接读取的用户明文。
今天的结论很朴素:AI 系统越自动化,越不能把「信任」押在单个包、单个 bucket、单个控制台或单个权限账号上。真正稳的方案,是在入口处做校验,在链路中做隔离,在推理层尽量不暴露明文。
Fuentes de referencia
- 1Inside the Mastra npm supply chain attack
- 2Pickle in the Middle – Hijacking Vertex AI Model Uploads for Cross-Tenant RCE
- 3Cisco Catalyst SD-WAN Manager Arbitrary File Write Vulnerability
- 4CISA Adds Two Known Exploited Vulnerabilities to Catalog
- 5Code of Practice on Transparency of AI-Generated Content
- 6Mastra npm Supply Chain Attack Explained
- 7荆华密算完成数千万元天使轮融资,专注AI密态计算|融资速递
- 8荆华密算入选主流价值语料生态联盟首批成员,护航大模型时代,为AI系上“安全带”
Añade más opiniones o contexto en torno a este contenido.