trivy 掃描完後顯示沒有問題，我就安全了嗎？

trivy 的漏洞資料庫每日更新，但 TeamPCP 攻擊在揭露後 Microsoft 已停用相關 repo，因此 trivy 可以比對已知 CVE 和可疑套件。掃描無問題代表目前已知風險為低，但建議同步更換所有 Git 相關 token 以防萬一。

Microsoft GitHub 供應鏈攻擊 2026：Claude Code / Gemini CLI 密碼遭竊風險完整解析

Q: 哪 73 個套件受影響？我如何快速確認？

主要集中在 Microsoft azure-sdk-for-python、durabletask-python、azure-durable-functions 等 durabletask 系列，以及部分 Azure DevOps 相關套件。最快確認方式是用 trivy 掃描你的 requirements.txt / package.json，或到 TechCrunch / Ars Technica 查最新的完整清單。

Q: 密碼已被竊取怎麼辦？

立即更換所有 git hosting 平台密碼（GitHub / GitLab / Bitbucket），撤銷所有 personal access token 並重新生成，檢查 SSH key 是否被新增陌生 key，通知你的資安長或 IT 團隊，並查看 Git 操作記錄是否有異常 push/clone。

Q: 未來如何防範類似供應鏈攻擊？

三個實用做法：(1) 使用 pip-audit 或 npm audit 在 CI/CD pipeline 自動掃描；(2) 鎖定套件版本（pin exact versions），不用 latest 或 *；(3) 在 GitHub Action 加入 trivy-action，每次 push 自動掃描，問題在合併前就被攔截。

事件全貌：到底發生了什麼？

2026 年 6 月 8–9 日，TechCrunch 與 Ars Technica 同步披露了一起嚴重的 Microsoft GitHub 供應鏈攻擊事件，隨即在 Hacker News 以 215 分衝上榜單第二名，整個 AI 開發社群震驚。

攻擊者（代號：TeamPCP） 的手法相當精密：他們成功取得 Microsoft 在 GitHub 上一個或多個官方帳號的存取權限，接著修改了多個熱門開源 Azure 套件的原始碼，植入一段 credential stealer（憑證竊取程式）。

最陰毒的地方在於：這段惡意程式不是在安裝時就發作，而是 被 AI coding agent 開啟時自動觸發。換句話說，只要你用 Claude Code、Gemini CLI、GitHub Copilot 等工具打開一個包含受感染套件的專案，惡意程式就會靜默執行，竊取你的 Git 憑證後回傳給攻擊者。

受感染套件的範圍

主要受影響的套件系列（73 個）：

azure-durable-functions（npm）
durabletask-python（PyPI）
durabletask-go
部分 azure-sdk-for-python 子套件
azure-sdk-for-js 特定版本
Azure DevOps 整合工具集中多個套件

完整清單持續更新中，建議以 trivy 掃描為準（下方有教學）。

為什麼 AI Coding Agent 是特別危險的觸發點？

傳統的惡意程式通常在 install 或 import 時發作，容易被沙箱或 CI 掃描攔截。但 TeamPCP 這次的設計更聰明：

觸發方式	觸發條件	風險等級
Claude Code 啟動時	讀取專案依賴並初始化 agent 環境	高
Gemini CLI 指令執行	執行含受感染套件的 Python/JS 腳本	高
VS Code + Copilot Agent	開啟工作區時自動載入套件	高
一般 python main.py	手動執行，有機會被沙箱限制	中
pip install / npm install	安裝本身不觸發，但為後續埋下地雷	中

AI coding agent 天生擁有讀取整個專案的能力，而且通常以開發者的身份在本機執行、不受沙箱限制。這讓它成為最理想的觸發器。更糟的是，agent 執行的副作用很容易被忽略——你以為 Claude Code 只是在讀你的 README，實際上後台有惡意程式正在掃描你的 ~/.gitconfig 和環境變數。

三步驟快速自我檢查

檢查依賴清單

先看看你的 requirements.txt / package.json / pyproject.toml 是否有 azure-durable-functions、durabletask 相關套件。

用 trivy 掃描

aquasecurity/trivy 是目前最快更新此次攻擊特徵的開源掃描工具（36K stars，本週 GitHub trending）。

輪換所有 Git Token

不管掃描結果如何，只要你有機會接觸到受感染套件，預防性更換 PAT 和 SSH key 是最保險的做法。

trivy 安裝與掃描教學（5 分鐘完成）

trivy 是 aquasecurity 開源的容器與依賴漏洞掃描器，Apache 2.0 授權，36K GitHub stars，本週仍在 GitHub trending。針對此次供應鏈攻擊，trivy 的漏洞資料庫已更新對應的 CVE 特徵。

安裝 trivy

macOS（Homebrew）：

brew install trivy

Linux（apt）：

sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee /etc/apt/sources.list.d/trivy.list
sudo apt-get update && sudo apt-get install trivy

Windows（Scoop）：

scoop install trivy

直接用 Docker（不想安裝的話）：

docker run --rm -v $(pwd):/workdir aquasec/trivy:latest fs /workdir

掃描你的專案目錄

# 掃描當前目錄的所有依賴（Python + npm 均支援）
trivy fs --scanners vuln .

# 指定只看 HIGH 和 CRITICAL 等級
trivy fs --scanners vuln --severity HIGH,CRITICAL .

# 輸出成 JSON 格式方便記錄
trivy fs --scanners vuln --format json --output trivy-report.json .

掃描特定 requirements.txt

trivy fs --scanners vuln requirements.txt

在 GitHub Actions 加入自動掃描

- name: Run Trivy vulnerability scanner
  uses: aquasecurity/trivy-action@master
  with:
    scan-type: 'fs'
    scan-ref: '.'
    severity: 'CRITICAL,HIGH'
    exit-code: '1'  # PR 發現問題時自動 block merge

這樣一來，每次有人 PR 加入新套件時，trivy 會自動在 CI 階段攔截可疑依賴。

相關學習

想系統學習 AI 開發資安？

DataCamp 提供「Securing AI Systems」與「DevSecOps」完整課程，涵蓋依賴掃描、容器安全、AI agent 沙箱化等主題。台灣工程師最快補強資安能力的途徑。

→ 查看 DataCamp AI 資安課程

如果密碼已被竊取，立刻做這些事

立即進入 GitHub Settings → Developer settings → Personal access tokens，撤銷所有現有 PAT 並重新生成
進入 GitHub Settings → SSH and GPG keys，檢查是否有陌生的 SSH key，有的話立即刪除
更換你的 GitHub / GitLab / Bitbucket 登入密碼，啟用 2FA（如果還沒啟用的話）
搜尋你的 Git 活動記錄：git log --all --oneline，確認是否有陌生的 commit 或 push
如果是公司帳號，立刻通知資安團隊，對方可能已透過你的帳號存取公司 repo
檢查環境變數中是否有 GITHUB_TOKEN、GH_TOKEN、AZURE_CREDENTIALS 等憑證，若有則輪換
通知你的合作開發者，他們的帳號可能也需要確認

Microsoft 的回應：停用了 repo，但沒有通知開發者

事件曝光後，Microsoft 確認已停用相關受感染的 GitHub repo 和套件版本，防止繼續下載。但令人憂心的是，Microsoft 並未主動通知可能受影響的開發者，這意味著許多人此刻仍不知道自己的憑證已遭竊。

Ars Technica 的報導指出，TeamPCP 選擇官方 Microsoft 帳號下的套件有明確的戰略意圖：開發者對 Microsoft 官方 repo 的信任度極高，幾乎不會懷疑。這讓惡意程式可以潛伏更久、感染更廣。

台灣開發者的特殊風險

台灣有大量工程師正在積極採用 AI coding agent，根據多個社群調查，Claude Code、Gemini CLI 在台灣工程師圈的使用率正快速攀升。特別是以下族群風險較高：

Azure 雲端開發者： 直接使用 durabletask 或 azure-sdk 套件的機率高
API 整合開發者： 大量使用第三方 Python/npm 套件，且往往不鎖定版本
Startup / 個人開發者： 通常沒有企業資安 CI/CD 過濾，依賴完全手動
AI Agent 實驗者： 喜歡嘗試新工具，套件更新頻繁，暴露面更廣

長期防護建議：三個好習慣

這次攻擊是個警鐘，但更重要的是建立長期習慣：

1. 鎖定套件版本，不用 latest

# Python：鎖定精確版本
azure-durable-functions==1.2.4  # 而非 >=1.0.0

# npm：使用 exact version
"azure-durable-functions": "1.5.0"  # 而非 "^1.5.0"

2. 使用 pip-audit 或 npm audit 在 CI 自動掃描

# Python
pip install pip-audit
pip-audit -r requirements.txt

# npm
npm audit --audit-level=high

3. AI Coding Agent 的沙箱化原則

在安全性敏感的專案中使用 AI coding agent 時，幾個好習慣：

使用容器或虛擬環境隔離，不要直接在生產環境用 agent
不要把 .env 檔案放在 agent 的工作目錄下
定期輪換 Git token，不要讓同一組憑證使用超過 90 天
啟用 GitHub 的 secret scanning alerts，一旦 token 外洩立刻收到通知

安全部署建議

用隔離的 VPS 環境執行 AI Agent

將 AI coding agent 部署在獨立的 DigitalOcean Droplet（$6/月起），與本地開發環境完全隔離。即使 agent 環境被攻擊，本地的 Git 憑證也不受影響。新帳號享 $200 免費額度，足夠用 2 個月。

→ DigitalOcean 領取 $200 免費額度

FAQ：台灣工程師最常問的問題

Q1：我只是用 Claude Code 讀程式碼，會受影響嗎？

如果你在開啟 Claude Code 或 Gemini CLI 之前 npm install / pip install 過受感染的套件，AI agent 啟動時可能觸發惡意程式。若你的專案有使用 durabletask 系列或任何 TeamPCP 植入的套件，應立即掃描。

Q2：哪 73 個套件受影響？我如何快速確認？

主要集中在 durabletask 系列和 Azure SDK 特定子套件。最快確認方式是用 trivy fs . 掃描，或到 TechCrunch / Ars Technica 查最新的完整清單。

Q3：密碼已被竊取怎麼辦？

立即更換所有 git hosting 平台密碼，撤銷所有 PAT 並重新生成，檢查 SSH key 是否有陌生 key，通知資安長或 IT 團隊，並查看 Git 操作記錄是否有異常 push/clone。

Q4：trivy 掃描完後沒問題，我就安全了嗎？

trivy 掃描無問題代表目前已知風險為低，但建議同步更換所有 Git 相關 token 以防萬一。Microsoft 已停用受感染 repo，trivy 會比對已知 CVE 特徵。

Q5：未來如何防範類似供應鏈攻擊？

三個實用做法：(1) 使用 pip-audit 或 npm audit 在 CI/CD 自動掃描；(2) 鎖定套件版本，不用 latest；(3) 在 GitHub Action 加入 trivy-action，每次 push 自動攔截。

Claude Code 工具包

Claude Code 完整設定包（含安全配置模板）

包含 token 省費設定、環境隔離最佳實踐、.gitignore 安全模板，以及進階 Agent Skills 完整合集。一次搞定 Claude Code 的安全與效率配置。

→ 取得 Claude Code 完整工具包

總結

Microsoft GitHub 供應鏈攻擊是 2026 年 AI 開發社群最重要的資安事件之一。它的危險之處不在於技術複雜性，而在於它利用了開發者對「官方來源」的信任，以及 AI coding agent 的廣泛執行權限。

好消息是，防護步驟並不複雜：

用 trivy 掃描你的專案目錄（5 分鐘搞定）
輪換所有 GitHub PAT 和 SSH key（10 分鐘）
在 CI/CD 加入 trivy-action，自動化長期防護（15 分鐘）

台灣 AI 開發社群正在快速成長，但資安意識還在補課中。這次事件是個提醒：AI 工具越強大，需要的安全習慣也越扎實。

【緊急資安警報】Microsoft GitHub 供應鏈攻擊 2026：Claude Code / Gemini CLI 密碼遭竊風險完整解析