观澜Media

axios 攻击敲响了警钟。您的 AI 代理在没有询问您的情况下就直接运行了 npm install。

观澜Media
axios 攻击敲响了警钟。您的 AI 代理在没有询问您的情况下就直接运行了 npm install。

1 供应链攻击攻击了每周下载量超过 1 亿次的软件包。

但这是没人在谈论的——AI 编码代理自主运行 npm install。

2026 年 3 月 31 日,攻击者劫持了 axios 的主要维护者的 npm 帐户——axios 是现有最广泛使用的 JavaScript 包之一。

将维护者的电子邮件交换为匿名 ProtonMail。

完全绕过 GitHub Actions。

1——一个在那天之前不存在的包。

来源:Dev.to

上一篇

下一篇

关于我们

观澜Media

AI技术 · 深度资讯 · 前沿观察。专注科技、AI、互联网领域的深度报道与前沿资讯。

最新资讯

查看全部

关注我们

分类

AI 互联网 体育 国内 国际 娱乐 技术 社会 科技 薅羊毛 财经

标签