专家警告Context Hub存在供应链攻击风险

从表面上看，最近一位开发者对名为Context Hub的新工具提出批评，并创建了一个开源替代方案，这似乎表明该工具容易被滥用。但深入分析后，这实际上对AI开发者发出了一个更重大的警告：使用非权威信息源的潜在风险。

两周前，硅谷技术培训公司DeepLearning.AI的创始人Andrew Ng推出了这一产品。他在LinkedIn帖子中表示，这是一个开放工具，为编程智能体提供所需的最新API文档。

"安装后提示您的智能体通过简单的CLI获取精选文档，"该帖子写道。"这很重要：编程智能体经常使用过时的API并产生错误参数。例如，当我让Claude Code调用OpenAI的GPT-5.2时，它使用的是较旧的chat completions API而不是较新的responses API，尽管新版本已经发布一年了。Context Hub解决了这个问题。Context Hub还设计为随时间越来越智能。"

据Ng介绍，使用Context Hub，智能体甚至可以在文档上添加注释。"如果您的智能体发现了一个变通方法，它可以保存它，下次会话时不需要重新发现，"他说。"长期来看，我们正在构建智能体之间共享学习内容的功能，让整个社区受益。"

然而，周三，开发者Mickey Shmueli发布了一个Context Hub供应链攻击概念验证(PoC)。他将LAP描述为"Context Hub的开源替代方案"。

他解释了发现的问题：Context Hub贡献者通过GitHub拉取请求提交文档，维护者合并它们，智能体按需获取内容，"但管道在每个阶段都没有内容净化"。

他写道，该项目"已发布超过1000个API文档，并添加了让智能体为其他智能体注释文档的功能。我们测试了注册表中的恶意文档是否能悄然危害开发者项目。"

在测试中，他写道，"我们创建了包含虚假依赖项的逼真恶意文档，并通过隔离Docker容器内的MCP服务器提供服务。"不过他强调，没有恶意内容上传到Context Hub注册表；测试在本地MCP服务器上运行，该服务器配置为从磁盘提供预构建输出。但从智能体的角度来看，体验与从实时注册表获取文档完全相同。

结果："当AI编程助手获取文档时，Claude Haiku悄然将虚假包写入requirements.txt，在100%的运行中都没有在文本输出中提及。读取助手响应的开发者不会看到任何可疑内容，但他们的项目已被污染。"

只测试了Claude Haiku、Sonnet和Opus；Opus表现最佳，Haiku最差。Shmueli指出，GPT-4、Gemini和Llama等其他模型的结果可能有所不同。

针对Shmueli的发现，Beauceron Security首席执行官David Shipley周四回应说："是时候对智能体AI坦诚相待了。充其量，它就是一个轻信的高速白痴，偶尔还会被致幻蘑菇绊倒，而你却赋予它代表你行动的能力。停下来想想这一点。你会有意雇用符合这种描述的人，然后让他们无监督地访问代码或个人银行业务吗？我不会。"

他说，基于大语言模型的生成式AI工具"不具备批判性思维或推理能力，就是这样。它们是概率数学和Token。它们通过重新调整和迭代提示来减少出错机会，伪装成推理。"

Shipley说，这不是批判性思维，并指出："20世纪50年代的真理至今仍然成立：垃圾进，垃圾出。"

他说，人们"构建了可以通过甜言蜜语操纵的随机鹦鹉，并称之为提示工程。老兄，这就是社会工程。AI行业越是继续向我们讲述皇帝新衣的故事，我们因为相信他们而显得越愚蠢。"

Info-Tech Research Group技术顾问Justin St-Maurice呼应了Shipley的担忧。他指出："供应链攻击是一个严重且可扩展的威胁，本周我们看到的就是一个很好的例子。漏洞不一定在应用程序本身，而是在依赖链、共享库、包存储库以及构建这些系统的所有通用基础设施中。"

他补充说："我们以前见过这种模式，多次见过。上游引入一个缺陷，突然大量下游系统暴露，通常在任何人发现之前。现在不同的是AI辅助开发的速度。开发者正在拉取共享依赖项，使用AI生成的代码，快速行动。如果某些东西被引入到这些通用源之一，它可以非常快速地传播到广泛的系统中。"

St-Maurice说，在AI环境中，"影响不仅仅是被动的。这些系统可以消费这些输入并对其采取行动，这使得潜在影响更大。"

他指出："LiteLLM情况和Context Hub发生的事情是同一周内的两个例子。绝对值得关注。快速编码者和在AI工具基础上快速构建的人需要认真考虑如何验证依赖项和管理上游风险。仅仅依赖提示不足以管理安全风险。"

Q&A

Q1：Context Hub是什么？它有什么作用？

A：Context Hub是由DeepLearning.AI创始人Andrew Ng推出的开放工具，为编程智能体提供最新的API文档。它解决了编程智能体经常使用过时API和产生错误参数的问题，智能体还可以在文档上添加注释并保存变通方法。

Q2：Context Hub存在什么安全风险？

A：安全专家发现Context Hub容易遭受供应链攻击。测试显示，恶意文档可以悄然污染开发者项目，Claude Haiku在100%的测试中都会将虚假包写入项目文件，而开发者无法从输出中察觉任何可疑内容。

Q3：为什么AI智能体容易受到这种攻击？

A：专家指出，大语言模型本质上是概率数学和Token，不具备真正的批判性思维或推理能力。它们像"轻信的高速白痴"，容易被操纵，无法识别恶意内容，这就是为什么仅依赖提示无法管理安全风险的原因。