# AI科技圈安全事件频发，供应链攻击Mini Shai-Hulud尤为严峻

- 来源：阿绎 AYi (@AYi_AInotes)
- 发布时间：2026-05-13 23:52
- AIHOT 分数：71
- AIHOT 链接：https://aihot.virxact.com/items/cmp4abckx049psljx2293ena4
- 原文链接：https://x.com/AYi_AInotes/status/2054590496693981274

## AI 摘要

近期AI科技圈安全事件集中爆发，涉及Linux、Windows、Next.js等多个系统与框架的漏洞。其中，代号“Mini Shai-Hulud”的大规模供应链攻击最为严峻，已劫持GitHub Actions CI管道，污染了TanStack、Mistral AI等超过170个热门npm/PyPI包。该恶意软件具备持久化与蠕虫式传播能力，并能绕过传统验证。建议开发者立即冻结安装、进行安全自查，并轮换所有密钥与令牌。

## 正文

AI科技圈近期的安全事件，

你害怕了吗？🤯

• CopyFail（Linux系统被破解）

• CopyFail 2/Dirty Frag（Linux内核脏碎片漏洞）

• Next.js框架出现13个安全警告

• MacOS 26.5系统修复了70多个通用漏洞披露（CVE）漏洞

• iOS 26.5系统修复了约50个通用漏洞披露（CVE）漏洞

• YellowKey（Windows Bitlocker全盘加密被破解）

• GreenPlasma（Windows权限提升漏洞）

• CVE-2026-21510和CVE-2026-21513被证实由俄罗斯用于Windows远程代码执行漏洞攻击

• CVE-2026-32202被单独证实由俄罗斯用于获取敏感文档

• Mini-Shai Hulud（超过300个JS和Python软件包因GitHub Action缓存投毒而被入侵）

• 谷歌证实，他们发现了利用人工智能对某个未知的"开源、基于Web的系统管理工具"进行零日漏洞攻击的情况

• Canvas（大多数学校使用的流行学习管理系统）被完全破解

• PAN-OS（ Palo Alto Networks公司的操作系统）因严重等级为9.3的CVE-2026-0300漏洞被破解

### 引用推文

> 阿绎 AYi：Damn!所有AI开发者,立刻停下你手里的npm install🤯 现在正在爆发有史以来最恐怖的供应链攻击, 代号Mini Shai-Hulud, 已经波及TanStack全家桶、Mistral AI、UiPath等170多个npm和PyPI包, 全是你们天天装的工具链, 周下载量加起来超过一个亿, 已经不是传统的维...
