npm及VS Code插件供应链攻击事件
AntV生态npm包被植入恶意代码,自动运行后窃取GitHub Token、npm Token等敏感信息,并可能利用这些凭证进一步传播恶意代码。Nx Console VS Code插件也被投毒,开发者只需打开项目就可能触发恶意代码,窃取类似凭证。文章提供了自查和轮换凭证的具体方法,指出开发工具链已成为供应链攻击的主要目标,开发者应加强本地环境安全。...
微信龙虾只活2天:一次更新干崩全生态,OpenClaw 撞上 Vibe Coding 天花板
OpenClaw更新v2026.3.22,将插件生态从npm强制迁移至官方ClawHub市场并移除旧接口,导致微信ClawBot等大量插件失效及系统崩溃。此次重构暴露了系统级脆弱性,凸显了AI原生项目在追求安全与开发者体验时,缺乏兼容性规划、压力测试和过渡方案的问题。事故也引发对Vibe Coding模式在生产环境中技术债、架构一致性与安全性的反思。...