← 所有文章

标签 #security

2 篇文章。

• 2026-05-17 · Paul Lukic

  每会话审计日志：限定 AI 编程代理的影响半径

  一个持续滚动的审计日志记录 AI 编程代理执行的每条 shell 命令是好事。每会话一份日志更好。本文说明为什么作用域比体量更重要、本周 Coograph 改了什么，以及如何把同样的模式套用到你自己的环境。

• 2026-05-15 · Paul Lukic

  TanStack npm 投毒事件：为什么每个 AI 编程代理都需要审计日志

  2026 年 5 月 11 日，42 个 @tanstack/* 包的 84 个恶意版本上架 npm，开始窃取 AWS、GCP、Kubernetes、Vault、GitHub 和 SSH 凭证。如果你的 AI 编程代理在那段时间内跑过 npm install，你可能永远不会知道。所以代理命令日志现在已经不是选项。