AI代理設定的安全，就是供應鏈安全

2026年4月29日，安全團隊通報SAP生態系套件遭入侵。這起事件並未止於憑證竊取。Mini Shai-Hulud攻擊活動還把持久化機制寫進開發者設定：Claude Code掛鉤、VS Code工作，以及儲存庫工作流程檔案。¹²³

這個細節改變了審查邊界。遭投毒的套件只要能在開發者信任的檔案中留下啟動命令，就不必一直留在系統裡。移除相依套件或許能拔掉第一個觸發點，但代理或編輯器設定仍可能讓下一個觸發點繼續存活。

AI代理設定是可執行軟體。每一個掛鉤、工作、MCP伺服器定義、技能、外掛程式、套件指令碼與工作流程檔案，都應視為軟體供應鏈的一部分，因為這些檔案可以在人類讀完差異前，決定要執行哪些程式碼。

重點摘要

Mini Shai-Hulud展示了一條實際路徑：從相依套件安裝，走向開發者工具持久化。安全研究人員通報，惡意npm套件在安裝期間使用生命週期指令碼，收集開發者與CI憑證，並寫入.claude/settings.json與.vscode/tasks.json，讓程式碼能從受信任的開發者介面再次執行。¹²⁴官方文件也證實，這些底層介面確實具有執行權限：Claude Code掛鉤會執行生命週期命令，命令掛鉤會以使用者權限執行；VS Code的folderOpen工作則可在使用者允許該資料夾自動工作後，於資料夾開啟時執行。⁵⁶

這裡的教訓不是「關掉代理」。更精準的教訓是：代理設定必須納入相依套件審查、程式碼審查、事件應變與發布關口。過去看似只是本機偏好的隱藏點目錄，如今已位在執行路徑上。嚴謹的AI工程實務需要設定差異審查、掛鉤審查、工作審查、最低權限權杖，以及啟動介面稽核。

關鍵要點

給開發者： - 信任儲存庫前，先審查.claude/settings.json、.vscode/tasks.json、.github/workflows/*、package.json指令碼、MCP設定，以及代理外掛程式或技能清單。 - 把新的啟動掛鉤與資料夾開啟工作，視同新的可執行檔案審查。 - 發生可疑安裝後，移除持久化檔案並輪替憑證。只移除套件，並不能證明清理完成。

給安全團隊： - 將代理設定檔納入供應鏈偵測、CODEOWNERS、機密應變與事件範圍界定。 - 任何PR若新增啟動執行、廣泛shell命令、不透明下載二進位檔，或隱藏於點目錄的酬載，都應標記。 - 優先採用短效發布憑證與唯讀安裝憑證。長效寫入權杖仍是蠕蟲燃料。

給代理平台建構者： - 讓執行介面可見、可審查、可解釋。 - 將載入脈絡的掛鉤，與執行命令的掛鉤分離。 - 為啟動動作、外部網路呼叫與遭修改的設定，提供完整內建的稽核檢視。

Mini Shai-Hulud改變了什麼

針對套件管理器的供應鏈攻擊，早已有熟悉模式。受信任套件收到惡意版本。安裝指令碼執行。酬載竊取權杖。套件登錄庫下架或版本回復，通常要等到若干開發者與CI工作已安裝惡意版本之後才發生。

Mini Shai-Hulud加入了更具代理時代特徵的一步。Endor Labs、Wiz、Socket、StepSecurity與Cloud Security Alliance的報告，都描述了相同的大致輪廓：SAP開發者生態系中的受入侵套件，利用npm安裝時執行，收集GitHub、npm、雲端與CI憑證，並透過開發者工具設定建立持久化。¹²³⁴⁷

Wiz記錄了一條備援路徑：攻擊者把檔案放進儲存庫，讓未來在Claude Code或VS Code中開啟時，能再次觸發執行。²Endor Labs描述了Claude Code的SessionStart掛鉤，以及一個帶有runOn: "folderOpen"的VS Code工作。¹Socket的攻擊活動追蹤器則列出透過.claude/settings.json與.vscode/tasks.json建立持久化，並與npm、PyPI套件入侵並列。³

具體酬載應留在事件報告中，不適合放進一般工程文章。真正持久的教訓是：

目標已從單一套件版本，轉向套件周圍的開發者環境。

設定檔變成啟動程式

Claude Code的掛鉤參考文件指出，掛鉤是使用者定義的shell命令、HTTP端點，或LLM提示，會在生命週期事件中自動執行。⁵同一份文件也說明，SessionStart會在Claude Code啟動或恢復工作階段時執行；安全章節並警告，命令掛鉤會以使用者的完整權限執行。⁵

VS Code的工作文件提供了另一個執行介面。工作可以將runOn設為folderOpen；使用者允許該資料夾的自動工作後，VS Code會在包含該工作的資料夾開啟時執行。⁶這個同意提示很重要。相較於在每台機器上靜默執行，它降低了風險。但這不代表該檔案無害。受信任的儲存庫、疲憊的開發者、先前已允許的工作區，或組織政策，仍可能把一次設定變更轉化為程式碼執行。

npm則提供安裝時的橋接點。npm指令碼文件列出，preinstall、install與postinstall都屬於npm ci與npm install的生命週期指令碼；npm最佳實務也說，除非是目標架構編譯，否則作者幾乎不應明確設定preinstall或install指令碼。⁸

這3個事實形成了攻擊鏈：

1. 安裝相依套件時，安裝指令碼執行。
2. 指令碼寫入或修補開發者工具設定。
3. 編輯器或代理稍後執行已設定的啟動動作。
4. 開發者信任該工具介面，因為提示或UI看起來像日常工作。

危險之處不在單一功能。安裝指令碼、掛鉤、工作與工作流程都支援正當自動化。真正危險的是信任傳遞。套件安裝不應能靜默定義未來每一次代理工作階段或資料夾開啟時要執行什麼。

審查邊界錯了

多數程式碼審查習慣把原始檔視為主要產物，設定檔則只是輔助材料。當設定檔會執行命令時，這個習慣就會失效。

新的掛鉤應接受與新shell指令碼相同的審查。新的工作應接受與新二進位檔相同的審查。新的MCP伺服器應接受與新網路整合相同的審查。新的套件生命週期指令碼，應接受與測試前會執行的新程式碼相同的審查。

可以使用這張審查表：

工具增強代理的執行環境防禦曾主張，強制管控應放在工具呼叫邊界。Mini Shai-Hulud把同一標準往前推了一層。啟動邊界也需要強制管控。

啟動權限需要最低權限

團隊已經會把最低權限套用在API金鑰上。代理設定也需要同樣規則。

Claude Code區分了PreToolUse、PostToolUse與SessionStart等掛鉤事件。⁵這種區分應該形塑政策。載入靜態脈絡的掛鉤，不應需要shell存取。驗證命令的掛鉤，不應需要網路存取。記錄本機中繼資料的掛鉤，不應需要憑證。

同樣規則也適用於VS Code工作與CI工作流程：

npm受信任發布文件說明了短效憑證的重要性。受信任發布使用OIDC，讓套件發布不必依賴長效npm權杖；npm也建議在設定受信任發布者後，停用傳統權杖式發布。⁹npm另建議，若發布使用OIDC，安裝私有相依套件時應使用唯讀細粒度存取權杖。⁹

這項建議不會消除工作流程風險。若工作流程遭入侵且權限過大，仍可能造成損害。教訓是兩邊都要收窄：短效憑證，以及窄範圍工作流程。

把代理設定當成相依套件

相依套件審查通常問：哪些套件版本變了。代理時代的審查還應該問：哪些執行介面變了。

接受相依套件更新、外掛程式安裝、產生的設定或範本變更前，先檢查：

重點不是疑神疑鬼，而是分類準確。掛鉤檔案看似設定，行為卻像程式碼。工作檔案看似編輯器設定，卻能啟動shell。工作流程看似發布管線，卻可能接觸憑證。

AI代理安全始於小型軟體從設計角度提出過類似論點：工具越窄，藏錯的地方越少。安全版本的說法是：設定越窄，藏持久化的地方越少。

安全的設定掃描

防禦性審查不需要執行可疑程式碼。先從唯讀檢查開始：

git diff -- .claude/settings.json .vscode/tasks.json package.json .github/workflows
rg -n '"SessionStart"|"runOn"\\s*:\\s*"folderOpen"|preinstall|postinstall|curl|wget|bun|node .*setup' \
  .claude .vscode package.json .github/workflows
find . -path '*/.claude/*' -o -path '*/.vscode/tasks.json' -o -path '*/.github/workflows/*'

這些命令不能證明一台機器是乾淨的。它們只是讓審查者先看過最可能把設定轉成執行的介面。若可疑安裝已經發生，應轉入事件應變，而不是把乾淨的搜尋結果當作保證。

復原需要設定掃描

遭入侵相依套件的事件應變，不應停在解除安裝套件。

建議採用以下復原順序：

1. 確認受影響套件版本是否曾安裝在開發者機器或CI執行器上。
2. 凍結該環境，避免它繼續執行更多工作。
3. 稽核儲存庫中的啟動設定檔，以及家目錄下的代理或編輯器設定。
4. 移除可疑掛鉤、工作、工作流程、產生的酬載檔案與非預期分支。
5. 輪替受影響程序可存取的每一項憑證，包括套件權杖、GitHub權杖、雲端金鑰、SSH金鑰與CI機密。
6. 檢查套件發布者權限與儲存庫寫入權限。
7. 檢閱工作流程記錄，尋找機密暴露與非預期對外呼叫。
8. 從乾淨簽出的版本與已知良好的相依套件組重建環境。

GitHub的Actions安全指引支持這項回應中的憑證面：工作流程權杖應採最低權限，暴露後輪替機密，稽核機密處理方式，並考慮要求工作在存取環境機密前先經審查。¹⁰GitHub也建議為工作流程檔案使用CODEOWNERS，讓.github/workflows下的變更必須由指定審查者核准。¹⁰

請把代理設定加入同一條治理路徑。如果.github/workflows/*因為能接觸機密而需要程式碼負責人審查，那麼.claude/settings.json與.vscode/tasks.json也需要審查，因為它們能在機密附近執行命令。

代理平台應該建構什麼

代理平台與編輯器可以讓啟動權限更明確，進而降低審查負擔。

有用的產品介面包括：

這些介面不應仰賴模型讀取JSON檔案後自行判斷。執行環境應直接揭露權限。使用者應能清楚看見「從README載入脈絡」與「工作階段開始時執行shell命令」之間的差異。

MCP工具需要動作層級授權曾主張，持有者權杖驗證必須進一步落實到每個工具、每個角色與每個動作的檢查。代理設定也需要相同形狀：每個啟動動作都應宣告所需權限，而執行環境應強制採用最小可行集合。

實用的本機政策

即使平台尚未把介面做得更好，團隊也可以先從一份小型政策檔開始：

好的政策會指出檔案與權限。像「小心使用代理工具」這種模糊規則，經不起真實工作。像「沒有負責人審查，不得新增SessionStart命令掛鉤」這種清楚規則，才讓審查者有可執行的依據。

FAQ

AI代理設定真的屬於供應鏈嗎？

是。供應鏈風險跟著執行與信任移動，而不是跟著副檔名移動。若套件安裝、外掛程式、範本或儲存庫變更能修改代理設定，且該設定稍後會執行命令，那份設定就在供應鏈內。

團隊應該禁止Claude Code掛鉤或VS Code工作嗎？

不需要。掛鉤與工作支援正當自動化。團隊應審查、限縮並記錄它們。載入脈絡的掛鉤，與執行shell的啟動掛鉤，不應取得相同信任。

VS Code會在執行資料夾開啟工作前詢問嗎？

VS Code文件指出，使用者第一次開啟含有folderOpen工作的資料夾時，VS Code會詢問是否允許該資料夾的自動工作。⁶這個提示有幫助，但該工作仍應接受程式碼審查，因為一旦核准，該檔案就成了執行路徑。

npm受信任發布能解決套件入侵嗎？

不能。受信任發布透過短效OIDC憑證，降低長效npm寫入權杖的風險。⁹團隊仍需要工作流程審查、最低權限、套件監控，以及針對遭入侵儲存庫或惡意安裝指令碼的事件應變。

可疑安裝後，我應該先稽核什麼？

先稽核安裝時指令碼、代理與編輯器啟動設定、工作流程檔案、非預期點目錄檔案、新分支，以及受影響程序可接觸的憑證。接著輪替受影響環境中的憑證。

結語

AI程式碼代理讓設定更強大，也讓設定更危險。

正確回應不是害怕自動化，而是誠實面對執行究竟住在哪裡。只要某個檔案能執行命令、擷取資料、讀取機密、發布套件或改變代理行為，它就應進入審查路徑。

代理設定已跨過這條線。請把它當成程式碼。

參考資料