实时 AI 消息
安全研究员验证Trae AI插件市场存在"毒巢"后门问题,部分恶意插件持续更新难以清除
安全研究员Cos(@evilcos)验证发现,Trae AI插件市场中存在"毒巢"式后门问题,部分含有后门的插件具有极强的生存能力,能够持续更新并留在市场中。这一发现暴露了AI智能体插件生态系统中严重的安全漏洞。

安全研究员Cos(@evilcos)日前验证发现,Trae AI的插件市场存在严重的"毒巢"(Poison Nest)后门问题。所谓"毒巢",是指插件市场中存在一批含有恶意后门的插件,这些插件具有极强的韧性,能够持续获得更新并长期驻留在市场中,难以被彻底清除。
Trae AI此前主要作为一款AI代理工具被开发者广泛使用,其插件市场承载着大量第三方开发的扩展功能。Cos的验证结果显示,这些后门插件的存在意味着开发者和普通用户在使用Trae插件时,面临数据窃取、系统被远程控制等严重安全风险。
这起事件本质上是AI行业供应链安全问题的又一次集中爆发。此前,浏览器扩展和开源软件就曾多次被植入后门,而AI智能体插件的兴起放大了这一风险——插件能够读取用户上下文、访问文件系统甚至执行代码,一旦被恶意利用,危害范围远超传统软件插件。
目前,Trae平台正面临信任危机。插件市场的审核机制是否足够严格、已识别的后门插件是否已被下架、平台将如何修补安全漏洞,都是用户和开发商密切关注的焦点。
从行业影响来看,这一事件可能推动AI插件市场从开放的第三方生态向更加中心化审核或去中心化验证的方向演进。安全审计工具和可信插件市场将因此获得更多资本和用户关注,而现行的插件供应链标准也有望加速规范化。
值得注意的是,AI智能体生态目前仍处于安全治理的早期阶段。类似Trae插件后门的事件未来可能在其他AI平台上重复出现,如何建立有效的插件安全审查机制、如何在开放与安全之间取得平衡,将成为整个行业必须面对的长期课题。
为什么重要
Trae AI插件市场的后门漏洞暴露了AI智能体生态在供应链安全方面的脆弱性,可能推动行业加速建立插件安全审查标准和可信机制。
附近消息
全部07/19 14:00
天谱乐大模型发布4.7版本,AI音乐二次创作能力升级
趣丸科技在2026 WAIC世界人工智能大会上正式发布天谱乐大模型V4.7,重点升级了Remix改写和翻唱Cover能力。新版本致力于让AI生成的音乐更容易控制,也更适合后续修改和二次创作。
07/19 14:40
WAIC 2026 上分子之心再证 AI 设计力:从纳米抗体到环肽,30 天连获两项湿实验验证
AI 生物科技公司分子之心在 WAIC 2026 上公布其 MMDesign 平台在环肽从头设计上的最新成果,在 p53-MDM2 和 PD-L1 两个经典靶点上取得超 70% 的首轮命中率。仅一个月前,该公司刚公布了纳米抗体设计的实验验证结果,短期内两次验证 AI 从单一模型向跨模态分子设计平台的延展能力。
07/19 12:55
Cline CLI 3.0.45 发布:解绑 AI 供应商以缩减安装体积
Cline CLI 3.0.45 通过将 AI 供应商组件解绑,大幅缩减了安装体积。这一改动让用户可以根据需要选择所需的后端,而非一次性下载全部供应商集成。
07/19 14:56
腾讯云ADP 4.0海外版在WAIC发布,吴运声称智能体成败关键在场景
腾讯云在WAIC 2026上正式发布了ADP 4.0海外版,进一步推动企业级智能体平台走向全球市场。腾讯云副总裁吴运声在发布现场表示,智能体的成功关键在于能否找到真正有价值的落地场景。