文章总结： 本文分析AI应用供应链投毒风险，攻击者通过仿冒PyPI仓库植入恶意依赖包，利用Python的.pth文件机制和猴子补丁技术劫持模型调用链，在特定业务领域实现AI助手定向误导。文章提出防护建议：供应链侧规范依赖来源并建立SBOM台账，运行侧监测环境变化和调用链完整性，推理侧审计上下文内容和检测语义风险。绿盟科技AI靶场已集成该场景用于安全验证。 综合评分： 85 文章分类： 供应链安全,AI安全,漏洞分析,安全建设,解决方案

供应链投毒——利用仿冒PyPI实现AI助手定向误导

原创

星云实验室 星云实验室

绿盟科技研究通讯

2026年6月18日 16:54 北京

在小说阅读器读本章

去阅读

摘要： 随着AI助手在企业场景中的广泛应用，软件供应链已成为影响AI系统安全的重要风险来源。攻击者无需直接控制模型或业务系统，仅通过污染模型调用链中的依赖组件，便可能持续影响模型行为。

本文聚焦AI应用软件供应链投毒风险，通过构建仿冒PyPI软件源场景，验证攻击者如何利用恶意依赖包实现AI助手定向误导，并对攻击机理、安全影响及防护思路进行分析，为企业开展AI供应链安全评估与验证提供参考。

注明：本文及相关靶标构建方法仅用于安全研究与防御体系学习，请勿将相关技术用于任何未经授权的测试。

背景与威胁场景

1.1

AI助手广泛应用下的可信挑战

随着大模型技术的快速发展，AI助手已成为企业数字化体系中的重要组成部分。在知识管理、办公协同、客户服务、软件开发以及运维支撑等场景中，越来越多的企业开始将生成式AI能力嵌入现有业务流程，使AI助手成为员工获取信息、辅助决策和处理日常工作的重要入口。Gartner预测，到2028年，80%的生成式AI业务应用将构建于现有数据管理平台之上，生成式AI正加速融入企业核心业务体系[1]。

然而，在企业级AI应用（如企业内网智能助手、自动化Agent）的研发与运维生命周期中，软件供应链的安全边界正在发生本质性的泛化。传统观点往往将AI安全局限于提示词注入（Prompt Injection）或对抗性样本攻击，进而忽视了依赖环境的脆弱性。

大模型应用并非孤立运行，而是高度依赖适配插件、向量数据库驱动以及模型网关等大量第三方组件。这种高度动态、多层嵌套的依赖关系，为攻击者实施定向误导提供了天然的隐蔽温床。不同于传统以获取系统权限（RCE）或窃取凭证为目的的供应链攻击，AI时代的定向误导攻击更加侧重于语义认知维度的精确颠覆。攻击者利用动态语言（如Python）在运行期对命名空间和内存指针的弱保护特性，可在满足加载条件的情况下持续影响应用运行过程。此类攻击既不修改业务层代码，也不更改外部网络路由，而是直接干预大模型应用的上下文，使AI系统在特定垂直业务领域产生系统性的认知偏差，进而对企业决策或业务流转造成重大误导。

1.2

威胁场景：供应链投毒导致AI助手定向误导

基于上述背景，本文构建了一个典型的软件供应链投毒场景。主体为企业内部AI助手，该系统通过大模型网关（如LiteLLM Server）为内部员工提供知识查询、流程咨询及日常办公等业务支持。

如图1所示，演练过程中，攻击者不直接攻击模型，也无需尝试入侵业务系统，而是通过技术论坛引诱开发人员安装伪装的依赖组件。

图1 PyPI仿冒

该场景的技术本质在于，它展示了攻击者如何将“供应链投毒”与“大模型语义解析”相结合，从而摆脱了传统硬编码关键词匹配的粗暴方式，实现基于模型语义分类的定向触发机制。

二、攻击原理与技术分析

2.1

运行时劫持：利用.pth文件接管模型调用链

要实现在不修改业务层代码的前提下，任意操纵LLM输入输出的效果，核心技术在于Python运行时的动态绑定能力。当Python解释器初始化环境时，会加载site模块，该模块会自动解析site-packages目录下的所有.pth（Path Configuration）文件[2]。.pth文件中以import开头的语句将在解释器启动阶段被执行，从而触发指定模块加载。攻击者正是利用此机制，将恶意引导逻辑与应用程序的主生命周期进行强绑定。一旦应用重启，.pth文件引导的恶意模块将率先获取进程控制权。

在内存中，一切皆对象，包括函数的指针。潜伏的恶意代码使用猴子补丁技术。通过直接修改大模型调用库（如litellm）的内置方法字典，将原生的推理调用接口动态替换为攻击者自建的代理函数[3]。至此，在不修改任何业务脚本的前提下，完成应用层调用链劫持。

2.2

定向误导：供应链投毒的完整触发链路

在模型调用链被成功劫持后，如何确保误导行为仅在特定场景下触发而不引起明显异常，关键在于领域识别机制。完整的触发链路如图2所示：

图2 供应链投毒触发链路

• 上游依赖顶替：利用版本混淆或仿冒源域名解析，使系统依赖解析器（pip）将仿冒仓库中的特制恶意包认定为合法最优版本并执行安装。
• 运行期内存篡改：助手应用开启时，执行流触发恶意.pth逻辑，替换原生completion函数的调用入口，强行接入自定义代理。
• 语义注入：在每次推理发生时，代理函数精准拦截请求体中的消息，在上下文首部动态注入一段精心设计的隐蔽全局系统提示词。
• 模型语义分流：大模型网关接收到包含恶意提示词的请求。大模型首先被强制执行“领域识别”任务——评估用户的提问是否落在特定范围的靶向污染区。若是，则激活误导指令，输出经过严重扭曲的错误结论；若不是，则直接沿用常规逻辑，给出推理结论。

这种架构的精妙之处在于，所有的流量、鉴权、网络路径以及底层大模型资产均为企业合法合规的所有物，安全边界设备看到的只是一次次“正常”的 API 交互，极大增加了防御方的检测成本。

三、靶场场景构建

3.1

场景组成与核心组件

| | | | | — | — | — | | 组件 | 版本/标识 | 说明 | | 操作系统 | Ubuntu 22.04 LTS | 基础宿主环境 | | 语言环境 | Python 3.11+ | AI业务语言运行环境 | | PyPI仓库 | — | 仿冒仓库，托管恶意组件 | | LiteLLM 网关 | — | 企业推理基础设施 | | 社区论坛 | — | 社会工程学途径 | | AI助手系统 | — | 企业AI业务场景 |

3.2

供应链投毒靶标构建

在绿盟AI靶场平台上，实例化AI助手、PyPI仓库以及论坛网站。

图3 AI供应链投毒靶标

此时的靶机（AI助手宿主机）处于完全纯净、未受污染的初始状态。其脆弱性本质在于：项目在环境初始化与后续维护过程中，未部署依赖完整性校验与运行时行为监测机制。这种“宽松”的依赖更新策略和对本地运行环境的默认信任状态，为后续实施供应链投毒创造了条件。

四、攻击复现与效果验证

如图4所示，在依赖组件受到污染后，涉及特定领域的问题时，模型会持续产生错误结论；而其他类型的问题仍能够正常回答。

图4 AI助手特定领域回复偏移

这说明模型整体能力并未下降。真正发生变化的是模型决策过程中所参考的上下文环境。从攻击收益角度看，这类攻击已经从“控制系统”演变为“影响决策”。

五、安全防护最佳实践

面对这种将传统代码供应链劫持与LLM语义决策深度融合的新型威胁，传统的内容安全边界防御与纯静态源码审计已难以完全覆盖。防御方必须构建覆盖供应链侧、运行侧以及推理侧的动态纵深防御体系：

5.1

供应链侧：从源头减少恶意依赖进入环境

软件供应链的风险往往始于依赖获取阶段，因此应尽量减少未知组件进入业务环境的机会：

• 规范依赖来源管理： 优先使用企业内部统一管理的软件源，对新增依赖建立审核机制，避免开发人员直接从未知仓库获取组件，降低仿冒仓库、恶意镜像等风险带来的影响。
• 建立SBOM资产台账： 持续梳理AI应用及其依赖组件清单，形成软件物料清单（SBOM），掌握组件来源、版本及依赖关系，为风险排查、漏洞响应和供应链安全审计提供基础支撑。
• 固定依赖版本并校验完整性： 对关键依赖进行版本锁定和完整性校验，确保部署环境中的软件包与经过验证的基线保持一致，防止依赖在更新过程中被恶意替换。

5.2

运行侧：加强环境监测与运行时行为审计

鉴于Python动态特性的广泛应用，必须加强对环境目录与运行时的监测和审计：

• 关注运行环境异常变化：将应用运行环境纳入持续监测范围，重点关注依赖目录、启动配置及扩展加载机制的变化情况，及时发现异常新增的组件、脚本或启动钩子文件。
• 监测关键调用链完整性：对模型调用、网关转发等核心功能模块建立基线，通过定期校验关键函数和组件的来源及行为特征，识别未经授权的运行时篡改、函数替换或调用链劫持行为。

5.3

推理侧：构建面向LLM的语义安全防线

由于此类攻击最终通过篡改模型上下文影响推理结果，因此可以在大模型网关的出入口层部署专门面向LLM的语义安全能力，作为模型调用链上的一道防线。

• 审计上下文内容：对进入模型的系统提示词、工具调用指令以及关键上下文信息进行检查，及时发现异常新增、隐藏插入或未经授权修改的控制指令，降低恶意语义注入对模型行为的影响。
• 检测语义风险：在模型请求转发过程中，对提示词内容进行实时分析，识别具有操纵、诱导或长期影响模型行为特征的异常指令，并结合安全策略进行过滤、告警或阻断，防止模型输出受到持续干扰。

六、基于AI靶场的风险验证方案

面对软件供应链投毒与运行时内存劫持这类打破传统安全边界、兼具工程对抗性与语义隐蔽性的复合型新兴威胁，如何对其进行体系化的风险评估与能力验证，成为摆在企业安全团队面前的核心难题。

绿盟科技星云实验室已将该场景集成至AI靶场，重点呈现攻击者通过仿冒私有仓库实施依赖劫持，利用进程内动态钩子与猴子补丁技术接管推理调用链，最终导致AI助手对特定业务领域产生系统性定向误导的完整攻击链路。

图5 绿盟大模型靶场管理平台

AI靶场方案引入多类威胁模型，构建了覆盖实战攻防全链路的靶场环境，重点呈现三大核心场景：

• AI系统对外部环境的威胁场景：在这一类场景中，靶场重点还原大模型被纳入系统后，其输出结果被自动采信并直接作用于外部环境（本地终端与开发机、浏览器与 IDE、云原生基础设施等等）所形成的真实攻击路径。该类威胁并非源于模型本身的缺陷，而是源于模型能力与外部环境执行能力之间缺乏有效安全边界。
• 外部环境对AI系统威胁场景：在此类威胁场景中，靶场重点关注外部环境如何成为攻击大模型的关键跳板。攻击者不再局限于通过提示词影响模型输出，而是借助外部环境中的执行能力、逃逸路径、供应链环节与控制面权限，从运行环境、权限体系与数据上下文等多个层面，直接接管或长期影响大模型的行为。
• AI系统自身的内生安全风险场景：如输入与指令安全、输出与交互安全、数据与知识安全、自治与资源治理安全。

图6 靶场场景概览

七、参考文献

参考文献

[1] https://www.gartner.com/en/newsroom/press-releases/2025-06-02-gartner-predicts-by-2028-80-percent-of-genai-business-apps-will-be-developed-on-existing-data-management-platforms

[2] https://docs.python.org/3/library/site.html

[3] https://docs.python.org/3/reference/datamodel.html

内容编辑：张小勇

责任编辑：吕治政

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新研究院负责运营，绿盟科技创新研究院是绿盟科技的前沿技术研究部门，包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一，与清华大学进行博士后联合培养，科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向，从实践出发，结合公司资源和先进技术，实现概念级的原型系统，进而交付产品线孵化产品并创造巨大的经济价值。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：绿盟科技研究通讯 星云实验室 星云实验室《供应链投毒——利用仿冒PyPI实现AI助手定向误导》