微软近日切断了其托管在 GitHub 上的数十个开源项目的访问权限，原因是发现黑客似乎已攻破这些项目，并在代码中植入了窃取密码的恶意软件。 受影响的项目多与微软云服务 Azure 及相关开发者工具有关，包括开发者在使用 Claude Code、Gemini CLI、VS Code 等 AI 编程应用时会调用的组件。 据安全公司 Cloudsmith 和社区驱动的恶意软件分析平台 OpenSourceMalware 最先披露，该恶意软件在用户于 AI 编程工具中打开被感染的组件时，能够窃取用户的密码和其他敏感凭证。目前尚不清楚有多少人下载了受影响工具。 微软发言人 Ben Hope 向 TechCrunch 确认了此事，表示公司"在调查潜在恶意内容期间临时移除了一些仓库"，其中部分仓库经审查后已恢复，其余可能继续下线。微软还通知了少数可能从受影响仓库下载过内容的客户。 目前 GitHub 上至少 70 个微软相关项目被标记为"已禁用"，访问页面显示："由于违反 GitHub 服务条款，此仓库的访问已被 GitHub 工作人员禁用。"