← 所有文章
1 篇文章。
2026-05-15 · Paul Lukic
2026 年 5 月 11 日,42 個 @tanstack/* 套件的 84 個惡意版本上架 npm,開始竊取 AWS、GCP、Kubernetes、Vault、GitHub 和 SSH 憑證。如果你的 AI 編程代理在那段時間內跑過 npm install,你可能永遠不會知道。所以代理命令日誌現在已經不是選項。