WordPress插件遭供应链投毒
值得看指数 55.0 NO. 020 · 2026.04.14
发布2026/04/14
为什么值得看
印度开发者出售的31个WordPress插件被植入后门,4月激活后向数十万网站注入仅对Googlebot可见的SEO垃圾信息。这暴露了开源供应链的权属审查盲区,AI工程师依赖的PyPI/NPM生态面临同样风险,需立即审计依赖变更。
编辑判断
这种"收购-投毒"模式在PyPI/NPM生态已多次发生,AI工程团队依赖的Hugging Face、Docker Hub等同样面临供应链污染风险。
建议立即检查AI产品官网是否使用受影响插件,并在CI/CD pipeline中加入依赖变更监控,对维护者所有权转移触发人工审计。
随着AI infra收购潮兴起,代码库完整性验证应成为MLOps安全清单的标配,避免模型权重在所有权转移中被篡改。