AI 精选动态
智能评分 75
AI 推荐理由
这是一则紧急的供应链安全警报,直接影响AI开发者的日常工具链,文中提供了三条即时防护措施(冻结包安装、全盘自查、旋转密钥),对任何使用npm/PyPI和AI辅助编码工具的开发者都至关重要。核心解读
一场代号为'Mini Shai-Hulud'的供应链攻击正在大规模爆发,已波及TanStack、Mistral AI、UiPath等170多个npm和PyPI包,周下载量超1亿。攻击者通过劫持GitHub Actions CI管道,让合法官方项目自行发布带毒版本,且附带SLSA 3级可信证明使传统签名验证失效,同时具备蠕虫式传播和持久化机制,可修改Claude和VS Code配置实现自动复活。