如果你使用Claude或Gemini，这次微软泄露意味着你的数据面临风险

一场名为Miasma的蠕虫病毒通过供应链攻击成功侵入了微软拥有的数十个GitHub仓库，部署了专门针对Claude Code、Gemini CLI、Cursor和VS Code等AI编程助手的恶意软件。2026年6月5日，GitHub被迫紧急禁用了四个微软组织下的73个仓库，包括Azure的核心基础设施，原因是恶意贡献者注入了自复制、窃取凭证的恶意软件。

与传统的通过npm install等包安装脚本传播的恶意软件不同，Miasma蠕虫开创了一种新的危险模式：只需打开项目文件夹，恶意负载就会执行。攻击者通过篡改AI编程助手用于理解项目的配置文件来实现这一点。例如，在Claude Code和Gemini CLI中，攻击者植入了恶意的.claude/settings.json和.gemini/settings.json文件，其中包含一个“SessionStart”钩子，当AI代理连接到仓库时会静默执行恶意软件。对于Cursor，攻击者在.cursor/rules/setup.mdc中进行了提示注入，欺骗Cursor AI认为必须运行恶意软件来“初始化项目环境”。而VS Code则通过修改后的.vscode/tasks.json文件在文件夹打开时自动运行负载。

恶意负载本身是一个4.6MB的混淆JavaScript文件（.github/setup.js），专为激进的凭证窃取而设计。一旦被AI代理或IDE触发，它会立即搜索AWS、GCP和Azure云密钥，从进程内存中提取GitHub Actions密钥，窃取1Password和gopass等密码管理器中解锁的数据，以及.env文件、Docker配置和Kubernetes环境中的密码。由于恶意软件窃取了合法的OAuth令牌和云密钥，攻击者可以绕过传统安全扫描器，在企业网络中横向传播，并利用受信任的开发者身份发布更多恶意代码。

AI代理的使用使得开发者对待开源代码的方式必须发生转变。在AI助手中打开不受信任或受损的仓库，现在与运行随机可执行文件具有相同的风险。如果您最近使用Claude Code、Gemini CLI或Cursor克隆或与微软或Azure仓库交互，请假设您的环境可能已受损。建议立即检查AI工具的根文件夹中是否存在意外的.claude、.gemini、.cursor或.vscode目录，并查找指向未知JavaScript或shell文件的“SessionStart”钩子。同时轮换所有GitHub个人访问令牌（PAT）、SSH密钥、CI/CD签名密钥以及所有活跃的云提供商凭证，并确保AI编程代理被明确限制无法自动运行启动脚本或访问敏感本地目录。