知名开源项目Neutralinojs因协作者安装恶意AI插件OpenClaw惨遭投毒，揭示了2026年供应链攻击的新趋势：通过AI工具渗透信任关系。OpenClaw项目虽爆火但安全设计堪忧，已成为全球APT组织利用的新跳板。

开源项目NanoClaw火了，创始人却被假网站通过谷歌搜索SEO“截胡”。尽管创始人疯狂优化正版官网并获得多方权威背书，谷歌依然让山寨站排在首页，引发了开源界对搜索安全与公信力的集体质疑。

近期npm生态系统遭受的AI驱动供应链攻击，如s1ngularity和Shai-Hulud，标志着攻击者正将AI工具和LLM武器化，实现自动化、隐蔽性凭证窃取。这些事件不仅揭示了开源生态信任机制的深层脆弱性，更将持续集成/持续交付（CI/CD）管道推向网络安全博弈的最前沿，预示着AI赋能下数字信任体系面临的严峻挑战与结构性变革。企业亟需重构安全策略，强化AI驱动的防御、零信任原则与CI/CD审计，以应对日益复杂的AI攻击范式。