2026 年 6 月 8 日,Socket 標記了 Shai-Hulud 蠕蟲的新一波攻擊——追蹤代號 「Hades」/ Mini-Shai-Hulud / Miasma。6 月 9 日媒體跟進。新的部分,也是這裡要談的原因: 這一波獵的是 AI agent 憑證。
這些是惡意的 npm 與 PyPI 套件,許多是 MCP 函式庫的 typosquat——langchain-core-mcp、instructor-mcp、openai-mcp、tiktoken-mcp、ray-mcp-server。 裝了或 import 了其中一個,就會跑起一個 Bun/Node 竊取程式。它讀你的 ANTHROPIC_API_KEY、你的 Claude desktop 設定、你的 .mcp.json, 接著掃 .npmrc、.pypirc、SSH 金鑰、雲端憑證, 整包送到攻擊者的 endpoint。這個攻擊活動每隔幾天就換一輪套件名。
再讀一次那份目標清單。你的 Anthropic key。你的 MCP 設定。 AI agent 開發者隨手放著的那些檔案,現在就是獎品。
ATR 偵測什麼
ATR 是 agent 威脅的開放標準。464 條偵測規則,MIT 授權。 規則 ATR-2026-00576 涵蓋 Hades 的憑證竊取階段,與 ATR-2026-00575 互補—— 後者偵測 Miasma 的 agent 設定檔後門,同一個攻擊活動的另一半。
規則在兩種形狀上觸發:
定向讀取加外送。程式碼讀取 AI agent 機密——ANTHROPIC_API_KEY、Claude 設定、.mcp.json——而且與對外網路傳送(requests.post、fetch、urllib、curl)共現。 單純的讀取沒事;讀取緊鄰著外滲,才是攻擊。
全面收割。程式碼撈兩個以上的憑證庫——.npmrc、.pypirc、AWS 憑證、 SSH 金鑰——其中之一是 AI agent 機密,然後把整包導向遠端主機。
說清楚這是什麼:它比對的是簽名——agent 憑證讀取緊鄰外滲。它不會讀心。 用 char code 拼出環境變數名稱的變種,或走 DNS 外滲的變種,會滑過 pattern 比對—— 字面 token 根本不出現。Pattern 偵測抓的是已知形狀。把它當其中一層,不是唯一一層。
跑起來
npx agent-threat-rules scan .如果它標記了一個你沒寫的套件或檔案,把整個 checkout 當成已被入侵。 先輪替你的 Anthropic API key——那是有即時爆炸半徑的一把——再輪替 npm、PyPI、雲端、SSH 憑證。然後稽核最近安裝的套件,找 typosquat 的 MCP 套件名。
規則是開放的。讀它、測它、把我們漏掉的變種寄給我們。