2026年4月10日，国家网络安全通报中心发布权威风险提示，针对近期国内频发的软件供应链安全问题，发出全网高等级安全告知。明确3月至4月上旬，国内接连出现多起隐蔽性极强、波及范围极广的软件供应链投毒攻击，这类风险早已跳出专业技术领域、企业办公场景，慢慢渗透到每一个普通人的日常数字生活里。

不少人一听到“软件供应链投毒”，第一反应都会觉得，这是互联网从业者、程序员才要操心的事，和自己八竿子打不着，平时正常用手机、电脑，根本不可能遇上这种问题。可事实真的是这样吗？答案显然是否定的。

在当下的数字时代，我们每天刷的短视频、用的社交软件、逛的电商平台、办公用的各类工具，甚至小程序、手机游戏，背后都离不开各类软件组件、开发工具的支撑，而供应链投毒，恰恰是从这些源头环节入手，悄无声息地污染整个使用链条，就算我们不点击陌生链接、不下载盗版软件、不接收可疑文件，只是正常使用官方渠道的应用，也有可能在不知不觉中陷入安全风险。

这篇文章就把这次供应链安全事件的来龙去脉、普通人会面临的实际影响、简单好操作的防护方法，完完整整讲清楚，全是贴近日常的实用内容，看完就能立刻自查，也能及时提醒身边的家人朋友，牢牢守住自己的数字安全底线。

一、权威通报！三起核心软件供应链安全事件，覆盖亿万普通用户

国家网络安全通报中心此次发布的风险提示，是基于2026年第一季度真实发生的网络安全事件梳理而来，每一起都针对互联网基础应用组件，通过上游污染、下游全量扩散的方式，影响到海量普通民众，并非小众的技术安全问题，而是和每个人都息息相关的民生安全事项。

（一）Apifox商用协作工具安全风险，波及海量普通终端用户

Apifox是目前国内互联网、金融、政务、科技等多个行业，广泛使用的API开发协作工具，据行业公开数据统计，这款工具覆盖超两百万开发者、十万余家企业，我们日常使用的绝大多数办公软件、手机APP、政务服务平台、银行相关应用，在开发和运维过程中，都会用到这款工具。

2026年3月4日到3月22日期间，该工具遭遇网络攻击，攻击者通过非法手段劫持其官方CDN域名，将正常的软件脚本替换为带有恶意程序的代码，这段时间内，只要用户从官方渠道下载、更新或启动该工具，恶意代码就会在后台自动运行，整个过程没有任何弹窗提示，软件运行也不会出现卡顿、异常，普通人根本无法察觉。

这类恶意代码主要会在后台静默获取设备中的相关账号信息、登录凭证、操作记录等，虽然主要针对企业开发数据，但普通用户使用关联衍生的各类APP时，个人账号、基础使用信息也存在被获取的风险，尤其是使用过相关企业开发的办公、生活类APP的用户，都属于关联受影响群体。

（二）LiteLLM开源库安全问题，影响各类日常AI应用

近几年AI应用全面普及，我们平时用的AI写作助手、智能客服、语音助手、AI绘画工具、数据分析小程序等，几乎都离不开底层开源开发库的支撑，而LiteLLM就是其中使用范围极广的Python开发库，堪称AI应用的基础搭建组件。

2026年3月下旬，攻击者在知名开源软件仓库，上传了植入恶意程序的篡改版本，版本号为1.82.7和1.82.8，开发者在正常更新、安装相关工具时，会自动下载到这类被篡改的安装包，恶意程序会顺着AI应用的开发链条，最终传递到终端用户的手机、电脑上。

对普通人来说，只要使用的AI类应用依赖该开源库，日常和AI助手的对话内容、输入的文字信息、账号登录信息，都有可能被恶意程序记录，不过大家不用过度恐慌，目前相关平台已紧急下架恶意安装包，官方正版库已完成修复，只要及时更新相关AI应用，就能有效规避风险。

（三）Axios组件安全隐患，全网多数网页、APP均受波及

Axios是目前全球使用量最大的JavaScript网络请求库之一，我们平时刷网页、用小程序、登录各类APP时，所有的网络数据传输、页面加载、信息提交，几乎都要依靠这个组件完成，可以说它是互联网数字生活的“基础纽带”。

2026年4月初，攻击者非法篡改Axios官方开源仓库代码，植入恶意逻辑，通过软件包管理器快速扩散，只要我们访问的网站、使用的APP、小程序搭载了被污染的组件，无需任何主动操作，恶意代码就会在后台悄悄运行。

其主要风险在于获取用户网页登录状态、账号凭证、基础操作信息，可能会出现账号异地登录、页面异常跳转、陌生广告弹出等情况，好在官方第一时间发布了修复补丁，各大平台、应用厂商也已快速完成更新，整体风险处于可控状态。

二、本轮软件供应链安全风险，为何容易波及普通人？

很多人会疑惑，以往的网络安全问题，大多只针对企业、机构，为什么这一次会蔓延到普通大众身上？其实这和当下互联网的发展形态、攻击方式的变化，有着直接关系，主要有三个核心原因。

首先，本轮安全风险针对的都是互联网基础组件，没有针对性的群体限制。不同于以往针对特定企业、特定用户的网络攻击，这次攻击者瞄准的是所有应用、网站都要用到的基础开发工具和组件，相当于污染了互联网的“基础建材”，用这些“建材”搭建的所有应用、平台，都会受到牵连，而我们每个人每天都在使用各类互联网应用，自然会被纳入风险范围。

其次，攻击方式极其隐蔽，普通人完全无法主动察觉。传统的网络攻击，大多需要用户点击链接、下载软件、扫描二维码才会中招，但这次的供应链投毒，全程隐藏在官方正版应用的运行过程中，不弹窗、不卡顿、无任何异常提示，恶意代码在后台静默运行，就算是有一定网络安全常识的人，不通过专业检测工具，也很难发现问题，这也是其容易扩散的关键原因。

最后，普通大众的网络安全防护意识普遍不足。大多数人平时使用手机、电脑，只会关注应用好不好用，很少会留意软件更新、权限管理、安全防护等问题，习惯了自动安装、默认授权，不会主动排查设备安全隐患，这也让这类隐蔽的安全风险，有了可乘之机，更容易影响到普通用户。

三、普通人遇到这类安全风险，会有哪些直观表现？

虽说这类供应链安全风险极其隐蔽，但如果设备受到影响，还是会出现一些细微的异常情况，只要我们多加留意，就能及时发现端倪，提前做好应对。

第一种是设备运行异常，比如手机、电脑突然出现莫名的耗电加快、流量消耗激增，明明没有使用大型应用，设备却出现发热、卡顿的情况，后台频繁出现陌生的运行程序，又找不到具体来源。

第二种是应用使用异常，平时常用的APP、网页，突然出现频繁闪退、自动跳转页面、弹出无关广告的情况，登录账号时提示异地登录、账号异常，或者收到陌生的登录验证短信、邮件，自己却没有进行任何操作。

第三种是信息相关异常，收到莫名的骚扰短信、推销电话，和自己近期的使用行为、个人信息高度相关，疑似个人基础信息被泄露；社交账号、购物账号出现莫名的动态发布、订单记录，并非本人操作。

如果出现以上任意一种情况，都要提高警惕，及时对设备进行安全排查，不要觉得是小问题就置之不理，避免风险进一步扩大。

四、简单易操作！普通人立刻能做的安全防护与自查方法

面对这类供应链安全风险，大家不用过度恐慌，毕竟国家相关部门已第一时间介入处置，各大应用厂商也完成了修复更新，我们只要做好几个简单的日常操作，就能有效规避风险，全程不用懂专业技术，随手就能完成。

（一）软件下载与更新，牢牢守住第一关

不管是手机还是电脑，所有应用、软件，一定要从官方正规渠道下载，手机优先选择手机品牌自带的应用商店，电脑直接从软件官方网站、正规电脑应用商店下载，坚决不下载破解版、精简版、绿色版软件，也不安装微信群、网盘、陌生链接分享的安装包。

近期一定要主动更新手机系统、电脑系统，以及所有常用APP，尤其是AI类、办公类、社交类、购物类应用，官方推送的安全更新补丁，会直接修复相关供应链安全漏洞，更新完成后，就能大幅降低风险。同时可以关闭软件非必要的自动下载、自动安装功能，避免被动安装到有隐患的程序。

（二）做好设备权限管理，减少风险暴露

很多人安装软件时，习惯一键同意所有权限授权，其实完全没必要，我们可以进入手机或电脑的设置页面，找到应用权限管理，关闭软件非必要的权限。比如社交软件不用授权位置、通讯录，购物软件不用授权麦克风、摄像头，不常用的软件直接关闭后台运行、自动启动权限，从源头减少恶意程序获取信息的渠道。

尤其是涉及支付、账号登录的应用，只保留核心功能权限，其他无关权限全部关闭，就算设备存在安全隐患，也能最大程度保护个人隐私和财产安全。

（三）设备安全自查，快速排查隐患

日常可以定期用手机、电脑自带的官方安全软件，进行全盘病毒查杀、风险扫描，不用下载第三方付费安全工具，系统自带的安全程序就足以排查这类常见风险。如果发现陌生的可疑程序、插件，直接卸载删除，不要保留。

同时，定期修改社交、支付、购物、办公账号的密码，密码设置尽量复杂一些，不要用生日、手机号等简单组合，不同账号尽量设置不同密码，避免一个账号泄露，引发连锁风险。

（四）养成良好使用习惯，远离各类风险

平时使用互联网应用时，不要随意点击陌生链接、扫描陌生二维码，就算是熟人发送的链接，也要先核实内容，再决定是否打开；不随意用社交、支付账号，一键授权登录陌生网站、小众APP，减少账号信息泄露的风险；不在手机备忘录、电脑桌面、聊天软件里，保存银行卡号、身份证号、账号密码等敏感个人信息，避免被恶意获取。

五、国家全面部署，筑牢软件供应链安全防线

针对此次集中出现的软件供应链安全风险，国家相关部门早已启动应急处置机制，全面发力、多部门联动，从源头遏制风险扩散，保障广大民众的数字安全。

国家网络安全通报中心启动7×24小时全网实时监测，持续追踪攻击源头、扩散路径、影响范围，第一时间向社会发布风险提示，督促各大软件厂商、平台企业快速修复漏洞、清除恶意程序，推送安全更新补丁。

工信部、网信办、公安部等部门联合开展网络安全专项整治工作，加大对网络攻击、恶意篡改开源组件、非法窃取用户信息等违法犯罪行为的打击力度，对相关违法人员、责任主体依法从严查处，形成强有力的震慑，坚决维护网络空间安全秩序。

同时，国家持续完善软件供应链安全监管体系，加快推进软件全流程溯源机制建设，强化对开源组件、开发工具、应用发布的安全审核，从研发、发布、使用全链条把控安全，从根本上减少此类安全风险的发生，为普通人的数字生活筑牢安全屏障。

目前，本轮安全风险已得到全面控制，相关漏洞全部修复，恶意程序也已被全面清除，大家只要按照上述方法做好防护、及时更新应用，就能安心使用各类互联网软件，无需过度担忧。

六、数字安全无小事，日常防护别大意

在数字化高度普及的今天，手机、电脑早已成为我们生活、工作、学习中不可或缺的一部分，网络安全也和我们每个人的切身利益息息相关。以往我们总觉得，网络安全是专业人士的事，离普通人很遥远，但这一次的供应链安全风险也让我们明白，网络安全从来都不是小事，它藏在我们每一次刷手机、用电脑的细节里。

国家在全力筑牢安全防线，平台在积极修复漏洞隐患，而我们自己，也要多一份警惕、多一份细心，养成良好的互联网使用习惯，做好日常的安全防护，不用花费太多时间和精力，只是简单的几个操作，就能守护好自己的个人信息和财产安全。

其实网络安全防护并没有那么复杂，对我们普通人来说，做好基础的防护措施、不忽视细微的异常情况，就足以规避绝大多数风险。你平时在使用手机、电脑时，有没有遇到过类似的异常情况？又有哪些实用的日常安全防护小技巧？

免责声明

本文基于国家网络安全通报中心等官方公开信息整理，仅为网络安全科普提示，不构成任何技术操作、软件使用指导建议。

文中提及的安全防护方法为通用日常操作，不保证可完全规避所有网络安全风险。请大家以官方发布的安全提示为准，理性看待网络安全风险，做好个人防护。