AI 模型被美国政府紧急下架、Linux 登录软件潜伏十年后门、1900 包被劫持——凭证本身才是目标

一个截止 6 月 15 日都还在卖的 AI 模型，在周五下午五点收到了一封来自美国政府的紧急指令。三天后，Linux 服务器上潜伏了近十年的后门被翻出来——它藏在登录软件本身，密码改多少遍都没用。再往后一天，1900 多个 Arch Linux 社区软件包被劫持，攻击者实时改写手法，研究人员拦截一批它换一批。

三件事，分布在三个不同的技术层，指向同一个问题：真正能被偷走的，始终是凭证本身。

6 月 12 日下午 5:21（美国东部时间），Anthropic 收到美国政府的出口管制指令，要求立即暂停所有外国国籍人员（包括 Anthropic 自己的外籍员工）对 Fable 5 和 Mythos 5 的访问，原因是国家安全考量。1

Fable 5 在这道指令下达前三天才刚刚发布。封停范围是所有用户——因为无法在合规期限内精确区分每个账户背后是否有外籍人员，Anthropic 选择一刀切。其余 Claude 系列模型不受影响。

政府方面给出的理由是：掌握了一种绕过 Fable 5 安全护栏的「越狱」方法。Anthropic 的回应措辞相当强硬——他们看过演示之后认为，那种所谓越狱的效果，用普通公开模型也能复现，包括 OpenAI 的 GPT-5.5。2

但政府并没有提供书面证据，只给了口头说明。

这件事的背景是，过去几个月里 AI 在网络攻击中的应用能力正在以可量化的速度提升。英国 AISI 在上月的评估中确认，Anthropic 的 Mythos 可以完成端到端的攻击链；同期的 GPT-5.5 在 32 步企业网络攻击模拟中，以 10 次尝试 2 次成功的记录超过了 Mythos。与此同时，Anthropic 自己的研究显示，Mythos Preview 可以在 12 小时内自主构建 8 个针对 Windows 内核漏洞的完整利用链，每条利用链的 API 费用约 2000 美元。3

「绑定约束已经从人的技能，变成了几千美元和 API 访问权限。」这是 Anthropic 自己在报告里写的话。

对于这道指令本身，Anthropic 的立场是：遵从法律，但明确反对。他们认为，如果这个「发现了一种非普适越狱就下架」的标准适用于整个行业，任何新模型都将无法部署——因为每家公司的每个模型都可能存在狭义越狱。

企业的核心困境是：被封停的不是出了事的模型，是能力越线之前就被提前拦截的模型。这条线画在哪里，没有公开标准。

与 Anthropic 事件几乎同步公开的，是安全公司 Sygnia 的一份完整取证报告。4

Velvet Ant 是 Sygnia 长期跟踪的一个中国背景威胁组织，历史上有过攻击 F5 BIG-IP 设备和思科 NX-OS 交换机的记录。这次披露的 Operation Highland 中，最早的取证文物可以追溯到 2016 年，意味着他们在目标组织的内网里持续潜伏了接近十年。

目标是一个没有直接互联网连接的隔离关键基础设施网络。

攻击路径分三个阶段。第一阶段：攻入面向互联网的服务器，部署了伪装成 [khubd]（内核线程）的 GS-Netcat 反向 Shell，通过 GSRN 中继网络建立加密通信隧道。第二阶段：利用 Nginx + FastCGI 链建立一条无需直接连接的 HTTP 请求执行路径，渗入隔离内网。

第三阶段才是最关键的：Velvet Ant 替换了 Linux PAM 认证模块和 OpenSSH 二进制文件。5

Sygnia 识别出九个不同的恶意 pam_unix.so 变体，每一个都在独立编译环境中构建——这种「每个目标一套构建管线」的做法，是高资源投入的专业组织的典型特征。其中两类变体，一类只做认证绕过（硬编码后门密码），另一类同时进行认证绕过和凭证收割。

修改后的 OpenSSH 二进制文件记录每次 SSH 会话期间输入的所有命令，并在本地储存以备后续取出。攻击者甚至给 SSH 二进制加了一个自定义标志，用于在自己登录时关闭凭证记录，主动管理取证痕迹。

修改密码没有用，重新建立 SSH 会话没有用，因为认证流程本身就在攻击者手里。Sygnia 的处置难点在于：PAM 和 OpenSSH 是远程访问和系统管理的基础组件，替换它们的过程如果出错，合法管理员会被锁在系统外。最终他们搭了一个测试实验室，逐主机验证替换程序后才执行清除。

这个案例值得反复看的地方不是攻击多么复杂，而是持续时间：组织里最高权限的认证栈被完全控制了近十年，期间的每一次密码修改、每一条管理命令，都在对方的记录里。

6 月 15 日，Risky Business 的时事通讯报道了一场正在进行中的 Arch Linux 社区软件仓库攻击。6

AUR（Arch User Repository）是 Arch Linux 官方仓库之外的社区驱动包仓库，托管超过 10 万个由社区成员维护的软件包。其中相当一部分属于「孤包」——维护者已经放弃但没有明确下架，任何人都可以「认领」成为新的维护者。

攻击者利用了这个认领机制。他们批量认领了废弃软件包，然后在安装脚本里加入一个恶意 npm 依赖，该依赖会在安装时下载并执行 rootkit 和信息收割工具。

信息收割的范围包括：浏览器保存的凭证、Electron 应用数据、本地开发者密钥和访问令牌。如果安装时拥有 root 权限，rootkit 会通过 eBPF 实现隐藏。

初始波次劫持了约 400 个软件包，随后扩展到 1500 个，报道时接近 2000 个，且攻击仍在继续。在研究人员开始标记后，攻击者将 npm 恶意包替换为 Bun 脚本，绕过已有的检测规则。

截至目前，受影响用户的准确数量仍在统计中。Arch Linux 官方邮件列表已有关于事件的讨论线程，部分安全研究团队发布了初步分析。对于在 6 月 11 日之后安装过 AUR 包的用户，优先动作是立即轮换所有本地存储的密钥和令牌。

三件事，技术层面完全不同：AI 模型的越狱风险、Linux 认证栈的后门植入、开源仓库的供应链劫持。但从攻击者的视角看，目标始终是同一类东西：运行 AI 任务的进程持有的密钥、管理员登录时键入的密码、开发者机器上储存的访问令牌。这些明文凭证和数据，在被使用的那一刻都经过了某个执行环境——而这个执行环境是否可信，上面三件事已经给出了答案。

这正是密态计算处理的问题。荆华密算的密态 AI 推理让模型在完全加密的状态下完成推理：即便执行环境被植入了后门，被记录了所有进出流量，攻击者拿到的也只是密文——明文数据在任何可访问的内存空间里都不存在。

这并不是对上面三起事件的全部解法，PAM 和供应链问题有各自的处置路径。但 AI 在企业流程中承担的任务越来越多，它调用的数据和凭证越来越敏感，推理层的明文暴露已经从「技术上存在的假设风险」变成了每天都在复现的攻击场景。全链路密态 AI 助手已于 2026 年 6 月 1 日开启内测，这是面向 C 端的第一个版本，首批开放 200 名用户。