Arch Linux 暂停 AUR 新用户注册,审核发现超 1500 个软件包遭投毒,这是 Linux 24 年来首次因安全原因全仓暂停。这背后是 AI 时代供应链投毒成本从「专家级」降到「脚本小子级」的结构性转折:当 LLM 帮你写 payload、掩护更新、维护话术,任何依赖社区贡献的开源基础设施都可能成为下一个 Arch。本文用 4 个时间节点(6/11-6/16)还原事件经过,拆解攻击链的「工程美学」,并指出被中文媒体最少报道的洞察:orphaned 比例超过 10% 的开源仓库,都已经在「潜在受害者」清单上。

LWN.net 披露 Arch User Repository 数百个 orphaned 包被同一批攻击者接管,构建脚本里塞进恶意 npm 依赖 'atomic-lockfile',构建阶段静默外泄 SSH 密钥、浏览器凭据。这不是 Linux 圈的小事——它是「社区长尾」+「跨语言依赖」+「AI 自动化」三股力量共同撕扯开源供应链的最新案例,值得所有依赖开源分发链路的人停下来想一下。

2026 年 6 月 11 日,Arch Linux 用户仓库(AUR) 维护者邮件列表披露,数百个 AUR 软件包遭攻击者通过窃取的维护者凭据注入了信息窃取恶意软件。这不是普通的安全事件——它直接命中了 AUR 「去中心化+无中心审计」的核心哲学,也再次给整个开源供应链敲响了警钟。

Linux 内核一周内连续曝光两个严重安全漏洞，全球大多数服务器和云计算基础设施受影响。开源项目安全审查流程引发质疑，云服务商紧急响应。