這次的供應鏈攻擊之所以刺眼,不只是因為 TanStack 的 npm 套件被改寫了,也不是因為 Mistral AI 的相關包名出現在受害清單裡,而是它把一件平常被當成背景音的事,直接推到台前:現代 AI 開發,很多時候其實是先相信套件、再相信 CI/CD、最後才相信產物本身。當那條鏈被蠕蟲式滲透,受損的不只是某個 package,而是整個發布節奏。
TanStack 自己的事後報告寫得很清楚,攻擊者先用 pull_request_target 與 GitHub Actions cache poisoning 跨過 fork 和 base 的信任邊界,再從 runner 記憶體裡抽出 OIDC token,把原本用來做 trusted publishing 的機制變成可被濫用的通道。The Register 和 Aikido 的獨立報導則把範圍再往外推:這不是單點事件,而是 Mini Shai-Hulud 那條老牌供應鏈蠕蟲的再度擴散,還碰到 Mistral、UiPath 等 AI 與開發工具相關包。
如果你把這件事只看成 npm 世界的安全新聞,就會少看一層。真正被測試的是那些把速度放在前面的工作流:安裝依賴、跑 build、拿 cache、簽發 token、推回 registry。這套流程平常很順,順到大家會以為信任是預設值;可是一旦攻擊者能把惡意內容塞進依賴樹,再借著 CI 跑到可信任的發布段,速度就會變成風險放大器。對 AI 團隊來說,這尤其麻煩,因為模型 SDK、前後端框架、部署工具通常都在同一條依賴鏈上。
更現實的是,這類事件的後座力通常不會只停在受害套件本身。開發者筆電、CI runner、雲端憑證、Kubernetes token、GitHub/NPM secrets,都可能因為一次 install 被一起捲進去。也就是說,這回不是在提醒大家「小心某個漏洞」,而是在提醒大家:如果你的 AI 產品依賴一整套外部 package,真正該重畫的,是整條供應鏈的隔離邊界。
參考來源:
- TanStack postmortem https://tanstack.com/blog/npm-supply-chain-compromise-postmortem
- GitHub issue #7383 https://github.com/TanStack/router/issues/7383
- The Register https://www.theregister.com/cyber-crime/2026/05/12/cache-poisoning-caper-turns-tanstack-npm-packages-toxic/5238650
- Aikido Security https://www.aikido.dev/blog/mini-shai-hulud-is-back-tanstack-compromised
- GitLab advisory database https://advisories.gitlab.com/npm/@tanstack/start-plugin-core/CVE-2026-45321/