← 所有文章
1 篇文章。
2026-05-15 · Paul Lukic
2026 年 5 月 11 日,42 个 @tanstack/* 包的 84 个恶意版本上架 npm,开始窃取 AWS、GCP、Kubernetes、Vault、GitHub 和 SSH 凭证。如果你的 AI 编程代理在那段时间内跑过 npm install,你可能永远不会知道。所以代理命令日志现在已经不是选项。