AI 编码代理会安装软件包、创建拉取请求、推送提交,并在 CI/CD 管道中自主运行。以下是保障整个工作流程安全的方法。
AI 编码代理(如 Claude Code、Cursor、Codex、Gemini 和 GitHub Copilot)现已成为了跨工程组织中的标准工具。它们编写代码、解决依赖问题、与外部服务交互,并通过整个开发管道推送变更——通常只需要最少的人工监督。
由此产生的安全挑战远不止 AI 生成代码的质量问题。它贯穿整个软件开发生命周期,从 AI 编码代理首次运行的开发环境,到推送变更的代码仓库,再到构建和部署的 CI/CD 管道。
近期攻击事件证明这并非理论。Shai-Hulud "Second Coming" 活动感染了 npm 软件包,这些软件包在开发者机器上执行,窃取凭证,并将 AI CLI 工具武器化用于侦察。NX Build System 遭到的攻击通过 VSCode 扩展感染开发者,在激活时静默运行恶意代码。Trust Wallet 事件则展示了被盗的开发者凭证如何导致恶意浏览器扩展被发布到 Chrome 网上应用店,影响了数千用户。
这些攻击有一个共同点:它们针对的都是 AI 编码代理现在运行的开发阶段。
代理式软件开发流程及为何每个阶段都是攻击面
代理式软件开发遵循三阶段流程,每个阶段都引入了独特的攻击面。
阶段 1:开发者机器或临时开发环境中的 AI 编码代理
这就是"感觉编程"开始的地方。AI 编码代理接收自然语言提示并开始构建。无论是在本地运行还是在临时云环境中运行,它都拥有凭证、SSH 密钥、云令牌和源代码的访问权限。
IDE 扩展可能被入侵(NX Console VSCode 扩展在激活时静默运行恶意代码)。将 AI 代理连接到开发工具的 MCP 服务器缺乏身份验证标准。Rules File Backdoor 攻击可以悄无声息地毒害代理行为。当凭证在此阶段被盗时,后果会如 Trust Wallet 事件所展示的那样级联放大——被盗的开发者凭证使攻击者能够发布绕过组织内部审批流程的恶意版本。
阶段 2:代码仓库
AI 编码代理根据任务分析动态解析和安装软件包,这些依赖项通过拉取请求进入代码库。代理优化的是任务完成,而非供应链风险评估。当供应链事件发生时,安全团队需要立即回答:这个软件包在我整个组织中分布在哪些地方?
阶段 3:CI/CD 管道
所有编码代理(如 Claude Code、Codex 和 GitHub Copilot)现在都在 GitHub Actions 中直接运行,拥有 GITHUB_TOKEN 权限;自主创建分支、推送提交、安装依赖并与 GitHub API 交互。CI/CD 管道拥有生产环境密钥和基础设施的特权访问,但安全团队面临关键的可视性缺口:你无法看到 AI 编码代理生成了哪些进程、联系了哪些端点,或在运行时安装了哪些软件包。
StepSecurity Dev Machine Guard 页面显示组织下注册的所有设备
为何现有感觉编程安全解决方案不够完善
越来越多的安全厂商围绕"感觉编程安全"进行定位,但几乎所有方案都只关注代理式开发生命周期的单个阶段。
IDE 层解决方案扫描 AI 生成的代码或管理插件,但无法对 CI/CD 管道或大规模 npm 供应链攻击提供可视性。SAST/DAST 工具扫描代码输出,但不监控代理运行时行为。EDR/XDR 缺乏 CI/CD 上下文。CNAPP/CSPM 为云基础设施构建,而非临时运行器或开发者工作站。
核心差距:没有任何单一解决方案能同时对开发者机器、代码仓库和 CI/CD 管道提供可视性和执行。攻击者深谙此道,Shai-Hulud 活动在一次行动中利用了全部三个阶段。
StepSecurity Dev Machine Guard 页面显示组织下注册的所有设备
使用 StepSecurity 保护感觉编程:端到端防御
StepSecurity 在代理式软件开发生命周期的所有三个阶段提供端到端防御:开发者机器上的 AI 编码代理、代码仓库和 CI/CD 管道。
这些能力经过实战检验。StepSecurity 是首个检测到 tj-actions 供应链攻击及 2025 年多起重大供应链攻击的公司,在公开通报之前就为客户提供了预警。
StepSecurity Dev Machine Guard 页面显示组织下注册的所有设备
阶段 1:AI 编码代理和开发环境安全(Dev Machine Guard)
开发环境——敏感凭证所在之地和不受信任代码每日执行之处——历来缺乏专门构建的供应链安全控制。StepSecurity Dev Machine Guard 填补了这一空白。
- AI 代理发现: 自动发现并跟踪整个组织中的所有 AI 编码助手。
- MCP 服务器可视性: 查看哪些 Model Context Protocol 服务器将 AI 代理连接到组织的开发工具。
- IDE 扩展治理: 跨 VSCode 和 Cursor 跟踪整个组织安装的所有扩展。实施允许列表和审批工作流程。
- 本地 npm 软件包监控: 监控开发者机器上安装的 npm 软件包,无论是由人还是 AI 编码代理安装的。当检测到被入侵的软件包时,远程从整个组织的受影响机器中移除,在几分钟内遏制影响范围。
当 AI 编码代理收到"构建带 OAuth 的登录系统"的提示时,它可能会安装软件包、连接 MCP 服务器并调用 IDE 扩展——所有这些都在任何代码到达仓库之前。如果这些组件中有任何一个被入侵,组织的凭证就会面临风险。
StepSecurity Dev Machine Guard 页面显示组织下注册的所有设备
阶段 2:代码仓库安全(NPM 供应链安全)
AI 编码代理动态解析软件包并通过拉取请求将其推入代码库,通常没有人工审查。StepSecurity 的 NPM 供应链安全能力在此阶段提供主动防御。
- 冷却期策略: 将新发布的 npm 软件包版本封锁一段可配置的时期。大多数供应链攻击利用社区审查之前的全新软件包。启用冷却期策略的客户在公开通报之前就受到保护,免受 2025 年 Shai-Hulud 等 npm 供应链攻击的影响。
- PR 级封锁: 自动封锁引入已知被入侵或可疑 npm 软件包的拉取请求。
- 组织范围软件包搜索: 当 AI 编码代理引入陌生的软件包,或当供应链事件发生时,你需要立即在整个组织的所有仓库、拉取请求和开发者机器中找到该软件包的每个实例。StepSecurity 的软件包搜索在几秒内即可完成。
- 历史暴露追踪: 即使恶意软件包已从 npm 删除,也能追踪您的组织在其可用期间是否暴露——这对事件响应至关重要。
探索交互式演示,查看 npm 软件包搜索的实际运作:
阶段 3:CI/CD 管道安全(Harden-Runner)
在 CI/CD 管道中运行的 AI 编码代理拥有生产环境密钥和基础设施的特权访问。保护这一阶段需要专门构建的运行时监控,理解 CI/CD 上下文,这是传统 EDR 根本无法提供的。
- 运行时可视性: Harden-Runner 监控 GitHub Actions 工作流运行期间的每个网络调用、进程执行和文件事件,将每个事件与其触发的特定步骤相关联。AI 编码代理变得完全可观察,而非黑盒。
- 行为基线检测: Harden-Runner 自动为每个作业建立正常网络行为基线。当作业联系基线外的端点时——例如,被入侵的依赖项回传数据——异常会立即被标记。这能捕获基于签名的工具会遗漏的新型攻击。
- 出口策略执行: 在阻止模式下,未经授权的出站流量在 DNS、HTTPS 和网络层被阻止——防止 CI/CD 凭证和源代码泄露。这对在 GitHub Actions 中运行且没有任何内置网络防火墙的 Claude Code 尤为重要。
- 进程溯源: 将每个网络调用追溯到发出它的确切进程(带 PID)——这是事件调查的基本上下文,通用端点工具在 CI/CD 环境中无法提供。
- 与 AI 编码代理的集成 非常简单: 我们已发布将 Harden-Runner 与主要 CI/CD 编码代理集成的分步指南:
在 GitHub Actions 运行期间由 Claude 生成的网络事件,使用 StepSecurity Harden-Runner 进行捕获和审计
为什么端到端覆盖至关重要
现代供应链攻击不会遵守阶段边界。Shai-Hulud 感染了 npm 软件包,从开发者机器窃取凭证,并利用这些凭证发布绕过 CI/CD 控制的恶意版本。NX 入侵同时打击了 npm 注册表和 VSCode 扩展。Trust Wallet 展示了阶段 1 的凭证被盗如何级联成恶意的生产版本发布。
覆盖单一阶段的点解决方案使另外两个阶段完全暴露。StepSecurity 是唯一在整个三个阶段提供统一可视性和执行的平台。
StepSecurity Dev Machine Guard 页面显示组织下注册的所有设备
结论
企业采用感觉编程和代理式软件开发的趋势正在加速。攻击面同步增长,现代供应链攻击是跨开发者机器、软件包注册表和 CI/CD 管道的多阶段行动。
专注于单一阶段的安全解决方案留下关键缺口。防御这些攻击需要在 AI 编码代理运行的每个阶段实施控制:感觉编程开始的开发环境、AI 生成依赖项进入代码库的代码仓库,以及生产密钥岌岌可危的 CI/CD 管道。
StepSecurity 提供经过真实攻击实战检验的端到端防御,值得领先企业和开源项目的信赖,专为代理式开发时代而构建。