記者吳立言/綜合報導
全球最大程式碼託管平台 GitHub 近日證實發生內部儲存庫未授權存取事件,雖然官方表示目前沒有證據顯示客戶資料外洩,但由於外部論壇開始流傳高階 AI 資安模型「Mythos」可能參與此次攻擊。
GitHub 證實內部儲存庫遭未授權存取
根據 GitHub 公開聲明,公司目前仍在調查事件細節,初步資訊指出,攻擊可能與遭植入惡意程式的 VS Code 擴充套件有關,而攻擊者則聲稱已取得約 3800 個 GitHub 內部 repo。 不過,目前網路上流傳包括 Copilot 原始碼、CodeQL 演算法與 GitHub Actions 系統遭竊等說法,都尚未獲得官方證實。
We are investigating unauthorized access to GitHub’s internal repositories. While we currently have no evidence of impact to customer information stored outside of GitHub’s internal repositories (such as our customers’ enterprises, organizations, and repositories), we are closely…
— GitHub (@github) May 19, 2026
Mythos 傳聞延燒
這次事件真正引起關注的,是 AI 在網路攻防中的角色。部分論壇貼文指出,攻擊者疑似利用 Anthropic 開發的高階 AI 資安模型 Mythos 協助進行漏洞分析與攻擊,但 GitHub 與 Anthropic 目前都未證實兩者存在直接關聯。即便如此,Mythos 仍被視為具備高度漏洞挖掘與弱點研究能力的 AI 模型之一。
AI 正在改變駭客攻防模式
不少資安專家認為,AI 對駭客產生的最大影響,並不只是提升單次攻擊能力,而是讓整個攻擊流程開始規模化。過去需要大量人工進行的漏洞掃描、逆向分析與 exploit 測試,如今都可能由 AI 自動完成,甚至能在短時間內同時分析大量程式碼與 attack surface。這也讓部分業界人士開始擔心,未來防禦方需要維持近乎零失誤的安全狀態,但攻擊方只要找到一個突破口,就可能透過 AI 快速放大影響範圍。
高階 AI 模型外流風險升溫
隨著高階 AI 模型能力持續提升,「模型外流」也逐漸成為科技公司與政府機構的新焦點。目前包括美國政府與多家 AI 公司,都已開始討論是否應對高風險 frontier model 建立更嚴格的權限管理與監管制度。
在 GitHub 事件持續延燒之際,部分開發者社群也開始重新檢查供應鏈安全與帳號權限設定。資安專家建議,開發者應盡快確認兩步驟驗證狀態,並避免安裝來源不明的 VS Code 擴充套件,以降低供應鏈攻擊風險。
