Language package managers like pip, npm, and others pose a high risk during active supply chain attacks. However, OS updates ...

全球开发者下载量最高的 AI 模型，不是 OpenAI 的 GPT，不是 Meta 的 Llama，而是阿里巴巴一个不到 10 人的团队做出来的。 2025 年初，Qwen（通义千问）系列模型的总下载量突破 3 亿次，Hugging Face 上基于 ...

Andrej Karpathy, the former Tesla AI director and OpenAI cofounder, is calling a recent Python package attack \"software horror\"—and the details are ge.

不是工具，是会陪你一起成长的数字伙伴2026年2月25日，一个名为 Hermes Agent 的开源项目在 GitHub 上悄然上线。短短一个多月，它收获了超过 6 万颗 Stars，成为 AI 智能体领域的新星。它凭什么这么火？一句话：别的 AI ...

但是也有人质疑卡帕西的“利用LLM提取功能”的这一措施，表示“只是把一个未经审查的代码库换成了一个LLM输出的而已”。这个就比较见仁见智了，使用LLM过滤一遍对提高代码安全性是否存在帮助依然非常依赖提示词。

All in all, your first RESTful API in Python is about piecing together clear endpoints, matching them with the right HTTP ...

GitHub 上四万颗星，日均下载 340 万次，几乎是 AI 开发者电脑里都会出现的基础设施。 LiteLLM，昨晚被黑了。 只要你用过它，或者用了任何一个间接依赖它的工具，你电脑上的东西就会被打包带走：远程连接的私钥、AWS/GCP/Azure 各种云账号、部署平台密钥、加密货币钱包、数据库密码，还有你放在 .env 文件里的所有 API Key。 打包好，发走，目的地是黑客提前架好的服务器。

Up to four npm packages on Axios were replaced with malicious versions, in one of the most sophisticated supply chain attacks ...

GlassWorm恶意软件活动正被用于持续攻击，通过窃取的GitHub令牌向数百个Python仓库注入恶意代码。攻击目标包括Django应用、机器学习研究代码、Streamlit仪表板和PyPI包，通过在setup.py、main.py和app.py等文件中附加混淆代码实现。攻击者获取开发者账户访问权限后，将恶意代码变基到目标仓库的默认分支并强制推送更改，同时保持原始提交信息、作者和日期不变。这种 ...

我越来越觉得传统IP信誉库不太够用了——GreyNoise刚出的报告说，快八成的恶意流量都走住宅中继，这些IP在传统库里全是“干净”的。我们支付团队就被这种假干净坑过好几次。后来把IP数据云的离线库接进来，日更、本地跑、毫秒级响应，夜里盗刷拦截率才真 ...

Every conversation you have with an AI — every decision, every debugging session, every architecture debate — disappears when the session ends. Six months of work, gone. You start over every time.

Datadog 安全团队还原了完整攻击链。3 月 19 日 Trivy 沦陷，20 日 npm 66 个包被感染，23 日 KICS 35 个标签被劫持，24 日 LiteLLM 中招。 攻击者还用 LiteLLM CEO Krrish ...