Mastra npm 攻击事件解读:Agent 框架供应链安全应急响应清单
2026-06-18 05:00:00
Mastra npm 供应链攻击(2026 年 6 月 16 日起)为 Agent 框架安全治理 提供最新案例。
事件要点
- 142 包 + 恶意 easy-day-js
- @mastra/core 单包 918K 周下载
- 攻击目标:凭证、钱包、持久化后门
监管与合规对照
| 要求 | 行动 |
|---|---|
| 等保/关基 | 供应链事件 24h 内 影响评估 |
| SOC2 | 证明 密钥轮换 与 依赖审计 记录 |
| 信创 | 国产 Agent 框架同样需 SCA |
企业应急响应清单
npm ls easy-day-js全仓扫描- 锁定 lockfile 至已知安全版本
- 轮换 npm/GitHub/云/LLM API/CI 全部密钥
- 检查 LaunchAgents/systemd 持久化
- 阻断 IOC IP
- 更新 SBOM 并通知客户(若为 SaaS 厂商)
政策趋势
IBM/Red Hat Project Lightwell(50 亿美元) 与本次事件呼应——开源 AI 供应链 已从开发者问题升级为 CISO 议程。
建议
将 @mastra/、langchain、@anthropic-ai/ 等 Agent 依赖 纳入 与 Log4j 同级 的应急演练范围。