干净仓库骗过 AI 编程助手

完整旁白脚本

1. 一个看起来干净的 GitHub 仓库，可能让 AI 编程助手自己把后门跑起来。
2. 0DIN 的演示里，仓库里没有恶意载荷；Claude Code 只是按说明安装、遇到报错，再执行看似正常的 init 命令。
3. 问题藏在下一跳：初始化脚本去读取攻击者控制的 DNS TXT 记录，把返回内容当命令执行，反向 shell 就这样连回去了。
4. 这不是常见的漏洞利用。更麻烦的是，AI 代理把「修复错误」当成了授权。成功后，攻击者可能拿到环境变量、API key 和本地配置。
5. BleepingComputer 在 6 月 27 日报道了这项概念验证。它提醒企业：AI 编程助手接触的不只是代码，还有凭证、仓库和内网入口。
6. 安全做法很直接：陌生仓库先隔离运行，禁止自动执行动态脚本，高风险命令必须人工确认。荆华密算的 AI 隐私平台，关注的正是这类数据使用边界。

关键画面说明

• 开头先展示本期蓝白科技新闻封面，再切入「表面干净的仓库」与后门风险标题卡。
• 中段使用 0DIN 原文流程图和运行时链路卡，说明「仓库无载荷 → DNS TXT 拉取 → 命令执行 → 回连」的关键路径。
• 风险分析段用凭证、API key、本地配置三类资产卡片，突出 AI 编程助手的授权边界问题。
• 结尾给出三条安全提醒：隔离运行陌生仓库、禁止自动执行动态脚本、高风险命令人工确认。

来源

• 0DIN：Clone This Repo and I Own Your Machine
• BleepingComputer：Clean GitHub repo tricks AI coding agents into running malware