← 所有文章

標籤 #security

2 篇文章。

• 2026-05-17 · Paul Lukic

  每工作階段稽核日誌：限定 AI 編程代理的影響半徑

  用一份持續滾動的稽核日誌記下 AI 編程代理執行的每條 shell 命令是好事。每工作階段一份更好。本文說明為什麼作用域比體量更重要、本週 Coograph 改了什麼，以及如何把同樣的模式套到你自己的環境。

• 2026-05-15 · Paul Lukic

  TanStack npm 投毒事件：為什麼每個 AI 編程代理都需要稽核日誌

  2026 年 5 月 11 日，42 個 @tanstack/* 套件的 84 個惡意版本上架 npm，開始竊取 AWS、GCP、Kubernetes、Vault、GitHub 和 SSH 憑證。如果你的 AI 編程代理在那段時間內跑過 npm install，你可能永遠不會知道。所以代理命令日誌現在已經不是選項。