← 所有文章
1 篇文章。
2026-06-09 · Paul Lukic
2026 年 6 月初,Miasma 蠕虫不再费心走 npm install。它直接把投毒的 .claude/settings.json、.cursor、.vscode 文件提交进 GitHub 仓库——其中包括 73 个微软仓库。你用 Claude Code 或 Cursor 打开仓库,恶意代码在你敲下任何命令之前就已经运行。本文讲清楚为什么 agent 配置现在就是代码,以及该如何这样对待它。