使用 Airgap 隐藏 AI 代理和 NPM 安装的秘密

一句话看懂：开发者 Sven Sauleau 发布了一款名为 Airgap 的 Linux 命令行工具，通过在 FUSE 文件系统中拦截并遮蔽敏感机密信息，阻止 AI 代理和 npm 安装过程中的恶意代码窃取 .env、SSH 密钥或云凭证，为当前 AI 代理横行与 npm 供应链攻击频发的环境提供了一种“看得见但拿不走”的安全层。

事件核心：发生了什么

2025 年末至 2026 年初，npm 生态遭遇了多轮以安装时窃密为核心的供应链攻击，最典型的是自我复制蠕虫 Shai-Hulud（2.0 版本已转向 preinstall 钩子影响 CI/CD 流水线），以及 Miasma、pgserve 和伪造的 tanstack 包——它们都在 npm install 时执行恶意钩子，扫描本地文件 .npmrc、环境变量、GitHub PAT 令牌以及 AWS/GCP/Azure 云密钥并外传。与此同时，Claude、OpenCode 等 AI 代理被广泛用于读取项目目录和用户家目录，代理所见的一切（包括机密文件）都可能被上传至模型提供商，恶意技能或插件也可直接盗取数据。

Airgap 的应对方案是在 Linux 上通过 mount 和 user 命名空间启动目标程序，将用户家目录和当前工作目录挂载为 FUSE 文件系统，每次文件访问都经过 Airgap 的处理逻辑：对已知机密文件（如 .env、~/.ssh、~/.npmrc）返回脱敏内容，对其他意外文件（如 ~/.aws/credentials）则要求用户确认后才能读取。该工具已内置对 npm 和主流 AI 代理等程序的访问白名单，开发者可通过添加 shell 别名让 npm install 和 agent 命令默认在 Airgap 下运行。

为什么重要

AI 行业的“代理化”进程正在让安全挑战变得根本不同。过去，npm 恶意包只能攻击手动执行安装的用户；现在，AI 代理不仅会自主运行 npm install 命令，还会根据 LLM 幻觉“发明”不存在的包名——攻击者提前注册这些名（slopsquatting），等着代理替他们完成安装。这使供应链攻击的概率和速度都大幅提升，而传统沙箱或权限控制（如容器化、最小权限原则）对 AI 代理并不友好：要么限制太多让代理无法工作，要么放开权限等于敞开大门。Airgap 的设计代表了一种折衷——文件在代理眼中仍然可读可编辑，但真实密钥内容被替换，代理在依赖模型“看到的内容”时已经处于信息隔离之下。

对用户/开发者/创作者的影响

对于使用 Claude、OpenCode 或其他本地文件读取型 AI 代理的开发者，Airgap 提供了一层无需修改工作流的防护：它不会阻止代理浏览代码，但会将 .env 值、SSH 私钥、npm 令牌替换为脱敏内容，降低敏感资料被作为提示上下文外传的风险。对于维护 npm 包或经常安装依赖的开发者，Airgap 在 install 时拦截并询问可疑文件读取，比如当 postinstall 钩子试图读取 ~/.ssh/id_rsa 时会被立即拒绝并提示用户——包本身仍可正常安装，但攻击行为被阻断。Linux 用户可直接从 crates.io 安装并配置 shell alias，macOS 支持仍在开发中。需要注意的是，这是一层防御而非完全保障，攻击方式在持续演化。

AI 工具推荐

想把多个 AI 模型放在一个入口？

GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型，适合写作、绘图、视频和日常 AI 工作流。

了解 GamsGo AI

推广链接：通过此链接购买，我可能获得佣金，不影响你的价格。

值得关注的后续

1. macOS 支持何时落地？目前 Airgap 仅支持 Linux。由于 macOS 的沙箱和命名空间机制不同，移植进度将直接决定该工具在 Apple 开发者群体中的可用性。2. AI 代理平台是否会内置类似机制？如果常见代理（如 Claude、Cline、Codex CLI 等）能通过白名单或插件原生集成 Airgap 的接口，开发者将无需额外配置即可获得保护。3. 攻击者是否会主动识别并绕过 Airgap？Airgap 通过 FUSE 拦截文件访问，攻击代码一旦感知到 FUSE 层可能会尝试绕过（例如读取 /proc 或利用原始设备）。该工具的开源社区能否快速响应该类 bypass，将决定它能否成为可信赖的基础安全设施。

来源：Hacker News