改一行文档就能投毒AI编程助手：吴恩达Context Hub被曝全链路零审核

据 1M AI News 监测，DeepLearning.AI 创始人、斯坦福大学兼职教授吴恩达两周前推出的 AI 编程文档服务 Context Hub 被安全研究者曝出供应链攻击风险。Context Hub 通过 MCP 服务器向编程 Agent 提供 API 文档，贡献者以 GitHub PR 提交文档，维护者合并后 Agent 按需读取。替代服务 lap.sh 的创建者 Mickey Shmueli 发布概念验证攻击（PoC），指出这条流水线「每个环节都没有内容审核」。

Shmueli 制作了两份针对 Plaid Link 和 Stripe Checkout 的虚假文档，各植入一个伪造的 PyPI 包名，用 Anthropic 三个级别的模型各测试 40 次：

1. Haiku 每次都将恶意包写入 requirements.txt，输出中不显示任何警告
2. Sonnet 在 48%（19/40）的测试中发出警告，但仍有 53%（21/40）写入恶意依赖
3. Opus 表现最好，75%（30/40）发出警告，未将恶意依赖写入代码

攻击者只需提交一个 PR 并被合并即可完成投毒，审核门槛不高：97 个已关闭的 PR 中有 58 个被合并。Shmueli 指出这本质上是间接提示注入的变种，AI 模型处理内容时无法可靠区分数据和指令，且其他社区文档服务在内容审核方面同样不足。吴恩达未回应置评请求。