兄弟们，早啊！你们有没有过这种崩溃时刻：手头一堆PDF报告、Word合同、Excel表格、PPT演示稿，还有老板随手拍的截图、会议录音……想喂给大模型做总结、RAG知识库、或者直接做数据分析，结果呢？复制粘贴、格式乱飞、表格直接崩、图片压根看不懂，折 ...

新智元报道 编辑：桃子 好困 全网震撼！《生化危机》女主跨界撸码，用Claude造出地表最强AI记忆系统，斩获全球首个满分。一年仅0.7美元，就能让大模型拥有永久记忆。 活久见！好莱坞巨星，也在撸代码了。 这几天，全网被一个开源「AI记忆系统」MemPalace彻底刷屏，这还是全球首个最强记忆AI。

Samsung is sunsetting its own chat app while Apple adds end-to-end encryption to its already-live RCS, hinting that the final texting firewall might soon drop. Meanwhile, Cloudflare drafts a ...

Language package managers like pip, npm, and others pose a high risk during active supply chain attacks. However, OS updates ...

Up to four npm packages on Axios were replaced with malicious versions, in one of the most sophisticated supply chain attacks ...

Datadog 安全团队还原了完整攻击链。3 月 19 日 Trivy 沦陷，20 日 npm 66 个包被感染，23 日 KICS 35 个标签被劫持，24 日 LiteLLM 中招。 攻击者还用 LiteLLM CEO Krrish ...

Andrej Karpathy, the former Tesla AI director and OpenAI cofounder, is calling a recent Python package attack \"software horror\"—and the details are ge.

GitHub 上四万颗星，日均下载 340 万次，几乎是 AI 开发者电脑里都会出现的基础设施。 LiteLLM，昨晚被黑了。 只要你用过它，或者用了任何一个间接依赖它的工具，你电脑上的东西就会被打包带走：远程连接的私钥、AWS/GCP/Azure 各种云账号、部署平台密钥、加密货币钱包、数据库密码，还有你放在 .env 文件里的所有 API Key。 打包好，发走，目的地是黑客提前架好的服务器。

但是也有人质疑卡帕西的“利用LLM提取功能”的这一措施，表示“只是把一个未经审查的代码库换成了一个LLM输出的而已”。这个就比较见仁见智了，使用LLM过滤一遍对提高代码安全性是否存在帮助依然非常依赖提示词。

GlassWorm恶意软件活动正被用于持续攻击，通过窃取的GitHub令牌向数百个Python仓库注入恶意代码。攻击目标包括Django应用、机器学习研究代码、Streamlit仪表板和PyPI包，通过在setup.py、main.py和app.py等文件中附加混淆代码实现。攻击者获取开发者账户访问权限后，将恶意代码变基到目标仓库的默认分支并强制推送更改，同时保持原始提交信息、作者和日期不变。这种 ...