一句话看懂:Arch Linux 的社区软件仓库 AUR 遭到持续性攻击,攻击者通过注册新账户接管大量无人维护的软件包并植入恶意代码,迫使项目方暂时关闭新用户注册,暴露了 AUR 协作模式在安全审查方面的根本性缺陷。
事件核心:发生了什么
自 2026 年 6 月中旬起,Arch 用户软件仓库(AUR)遭遇了多日持续攻击。攻击者利用 AUR 开放注册的机制,批量创建新账户,随后迅速接管(adopt)了多个“孤儿包”(orphaned packages)——即目前无人维护的软件包。在这些被接管的软件包的 PKGBUILD 文件中,攻击者植入了恶意代码,当用户通过 AUR 辅助工具(如 paru 或 yay)下载并编译安装或更新这些软件时,会一并安装恶意软件。截至报道发布时,受感染的用户数量尚不明确,但维护团队表示他们不得不玩了好几天的“打地鼠”游戏,逐一应对每个新被攻陷的包。作为紧急响应,AUR 已暂时关闭了新用户注册功能,但长期解决方案尚不明确。
为什么重要
AUR 的核心问题在于其零审查的协作模型。当前 AUR 拥有超过 14.1 万名注册用户和 10.7 万个软件包,其中近 1.4 万个为孤儿包。任何注册用户都可以无需审核直接接管这些孤儿包或提交新包。与 Fedora 的 Copr、openSUSE 的 OBS 或 Ubuntu 的 PPA 等同类服务不同,AUR 允许用户提交预编译的二进制文件(-bin 包)和专有软件,这意味着用户下载的可执行文件完全依赖包维护者的诚信。这种“完全非官方”且“使用风险自负”的模型在设计上就缺乏自动化的安全审查环节,使得大规模供应链投毒攻击成为可能。此次攻击不仅威胁了 Arch Linux 用户,也为所有依赖社区贡献且缺乏审计流程的软件分发模式敲响了警钟——当攻击者锁定无人维护的“孤儿包”作为攻击面时,整个生态的信任基石就会被动摇。
对用户/开发者/创作者的影响
对普通 Arch Linux 用户:应立即停止使用 AUR 辅助工具进行软件更新,尤其是在攻击缓解措施落地之前。用户应手动审查已安装的 AUR 包来源,特别关注近期被接管的孤儿包或使用 -bin 二进制包的更新。未来,用户可能需要接受更严格的包来源验证流程,例如等待社区或官方对 PKGBUILD 进行人工或自动化审查后再安装。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
对 AUR 包维护者及贡献者:开发者需要意识到自己创建的包一旦被标记为“孤儿”,就可能成为攻击目标。建议在离职或放弃维护时主动将包转移给可信任的维护者或社区团体,避免留下孤儿包。与此同时,社区应考虑引入类似签名验证、双因子认证或提交审核队列的安全机制,以降低被恶意接管的概率。
对 Linux 发行版及其他生态:这件事不只是 Arch 的问题。任何允许用户轻松发布“使用风险自负”的第三方软件源的系统(如 Copr、OBS、PPA)都面临类似风险。其他发行版和开源社区可借此事件审视自身社区仓库的准入策略,探索是否需要在开放性与安全性之间找到更平衡的中间态,例如引入自动化沙盒测试或对 -bin 二进制包实施更严格的限制。
值得关注的后续
1. AUR 是否会引入强制性审查流程? 目前项目方仅关闭了新用户注册,但未公布永久解决方案。值得观察他们是否会像其它发行版社区仓库那样要求提交者进行身份验证或对包更新实施短期人工审核。
2. 已感染用户的规模及攻击动机:目前公开信息显示攻击数量及具体恶意软件样本尚未被完全披露。安全社区和 Arch 团队可能在未来公布更详细的分析,这将帮助我们判断这是试探性攻击还是大规模供应链投毒行动。
3. 对其他第三方软件源的影响:类似 AUR 的社区仓库(如 Fedora Copr、Ubuntu PPA)的管理者可能会借此事件加速推进之前悬而未决的安全改进,例如引入更精细的包签名策略或限制孤儿包的接管权限。
![[BUG]: Desktop on Windows-ARM (Snapdragon) ships x64 Prisma query engine → "could not locate the Query Engine", all DB ops fail](https://www.chat-gpts.plus/wp-content/uploads/2026/06/5881-651d8865-768x403.jpg)