开源|供应链攻击：16岁黑客如何通过Mintlify漏洞攻陷X、Vercel、Discord等数百家公司

近日，一名16岁的黑客Daniel及其团队在AI文档平台Mintlify中发现了一系列严重的供应链漏洞，引发了科技界的广泛关注。Mintlify作为一款被众多头部公司采用的AI文档生成工具，其服务被集成到数百家企业的技术栈中，包括Discord、X（原Twitter）、Vercel以及新兴AI代码编辑器Cursor等知名企业。Daniel发现的漏洞核心是一个跨站脚本（XSS）攻击点，攻击者可通过上传恶意SVG文件，利用平台内部文件获取机制，将恶意脚本注入到客户文档中。这种攻击方式属于典型的供应链攻击，一旦成功，可能导致客户网站被劫持、用户数据泄露或进一步的内网渗透。尽管漏洞影响范围极广，但Mintlify在收到黑客团队的负责任披露后迅速修复了问题，避免了大规模安全事件的爆发。此次事件再次凸显了现代软件开发中第三方依赖和供应链安全的极端脆弱性，尤其是AI工具和云原生平台的快速普及，使得单一组件的漏洞可能呈指数级放大其破坏力。