CVE-2026-34841 — 神龙十问 AI 深度分析摘要

🚨 **本质**：供应链攻击。黑客篡改了 **axios** npm 包，导致 Bruno 3.2.1 之前版本被植入 **跨平台远程访问木马 (RAT)**。后果：你的 API 测试工具变成黑客的后门。

🛡️ **CWE-494**：下载并安装来自外部来源的可执行代码。缺陷点在于 **npm 包维护者账号被劫持**，恶意代码混入依赖库中。

📦 **受影响**：**usebruno/bruno** 版本 **< 3.2.1**。核心组件是 **axios**（被篡改的 npm 包）。

💻 **黑客权限**：CVSS 评分极高 (H/H/H)。可完全控制你的电脑，窃取敏感 API 密钥、Cookie、本地文件，甚至作为跳板攻击内网。

⚡ **利用门槛**：**极低**。CVSS 显示无需认证 (PR:N)、无需用户交互 (UI:N)。只要安装了旧版 Bruno 并联网更新依赖，就可能中招。

🔍 **Exp 状态**：目前 **无公开 PoC**。但这是基于 **npm 维护者被劫持** 的真实供应链攻击，在野利用风险极高，属于“隐形炸弹”。

🔎 **自查方法**：检查 `node_modules/axios` 目录。查看是否有异常的后门代码或非常规的网络连接请求。扫描依赖树，确认 axios 版本是否被污染。

✅ **官方修复**：已发布安全公告 (GHSA-658g-p7jg-wx5g) 和修复 PR (#7632)。请升级至 **Bruno 3.2.1 或更高版本**。

🚧 **临时规避**：1. **立即升级** Bruno。2. 检查 npm 包完整性。3. 若无法升级，**断网使用** 或 **禁用自动更新依赖**。4. 重置所有通过 Bruno 测试过的 API 密钥。

🔥 **优先级**：**紧急 (Critical)**。供应链攻击隐蔽性强，危害大。建议 **立即行动**，升级软件并排查系统安全性。