Language package managers like pip, npm, and others pose a high risk during active supply chain attacks. However, OS updates ...

Andrej Karpathy, the former Tesla AI director and OpenAI cofounder, is calling a recent Python package attack \"software horror\"—and the details are ge.

兄弟们，早啊！你们有没有过这种崩溃时刻：手头一堆PDF报告、Word合同、Excel表格、PPT演示稿，还有老板随手拍的截图、会议录音……想喂给大模型做总结、RAG知识库、或者直接做数据分析，结果呢？复制粘贴、格式乱飞、表格直接崩、图片压根看不懂，折 ...

但是也有人质疑卡帕西的“利用LLM提取功能”的这一措施，表示“只是把一个未经审查的代码库换成了一个LLM输出的而已”。这个就比较见仁见智了，使用LLM过滤一遍对提高代码安全性是否存在帮助依然非常依赖提示词。

All in all, your first RESTful API in Python is about piecing together clear endpoints, matching them with the right HTTP ...

GitHub 上四万颗星，日均下载 340 万次，几乎是 AI 开发者电脑里都会出现的基础设施。 LiteLLM，昨晚被黑了。 只要你用过它，或者用了任何一个间接依赖它的工具，你电脑上的东西就会被打包带走：远程连接的私钥、AWS/GCP/Azure 各种云账号、部署平台密钥、加密货币钱包、数据库密码，还有你放在 .env 文件里的所有 API Key。 打包好，发走，目的地是黑客提前架好的服务器。

Up to four npm packages on Axios were replaced with malicious versions, in one of the most sophisticated supply chain attacks ...

GlassWorm恶意软件活动正被用于持续攻击，通过窃取的GitHub令牌向数百个Python仓库注入恶意代码。攻击目标包括Django应用、机器学习研究代码、Streamlit仪表板和PyPI包，通过在setup.py、main.py和app.py等文件中附加混淆代码实现。攻击者获取开发者账户访问权限后，将恶意代码变基到目标仓库的默认分支并强制推送更改，同时保持原始提交信息、作者和日期不变。这种 ...

我越来越觉得传统IP信誉库不太够用了——GreyNoise刚出的报告说，快八成的恶意流量都走住宅中继，这些IP在传统库里全是“干净”的。我们支付团队就被这种假干净坑过好几次。后来把IP数据云的离线库接进来，日更、本地跑、毫秒级响应，夜里盗刷拦截率才真 ...

Every conversation you have with an AI — every decision, every debugging session, every architecture debate — disappears when ...

UNC1069 compromised Axios 1.14.1 and 0.30.4 via social engineering, impacting 100M weekly downloads and exposing supply ...

Datadog 安全团队还原了完整攻击链。3 月 19 日 Trivy 沦陷，20 日 npm 66 个包被感染，23 日 KICS 35 个标签被劫持，24 日 LiteLLM 中招。 攻击者还用 LiteLLM CEO Krrish ...