本次案例正是最好的警示：一个看似正常的扩展插件，险些将病毒带入系统。这充分说明，只要智能体仍在与系统交互、仍在联网运行，运行时的动态防御就绝不能缺失——危险往往藏在“正常操作”背后。此次事件之所以未造成实际影响，关键在于天珣EDR For ...

事情的起点，是 npm 上发布的 Claude Code 2.1.88 安装包。包里混进了一个本不该公开的 map 文件。这类文件原本只是开发阶段的调试工具，用来在代码被压缩、打包之后，依然能把报错信息对应回原始源码中的具体位置。

【新智元导读】今天，一篇X刷屏全网：开发者明明禁止写入，Claude却偷偷写Python脚本「黑」进系统修改权限！更可怕的是，谷歌DeepMind发布迄今规模最大AI操纵实证研究，证实现有防御已全面失效，互联网正变成AI的「猎杀场」！这可以类比201 ...

3月31日，Anthropic旗下的Claude Code在更新npm包时，因一个调试文件的误打包，导致约51.2万行内部TypeScript代码意外流出。这份涵盖1900个文件的源代码，几乎完整呈现了这款明星AI编程工具的底层架构、工具链设计，乃至多个尚未面世的隐藏功能。

专注AIGC领域的专业社区，关注微软&OpenAI、百度文心一言、讯飞星火等大语言模型（LLM）的发展和应用落地，聚焦LLM的市场研究和AIGC开发者生态，欢迎关注！短短几行配置文件写错，掀开了全球人工智能巨头最为核心的技术底牌。高达51.2万行代码 ...

网络安全研究人员在npm注册表中发现了36个恶意包，这些包伪装成Strapi CMS插件，但携带不同的有效载荷，用于Redis和PostgreSQL利用、部署反向Shell、收集凭据并投放持久化植入程序。

过去一两年，ChatGPT 等 AI 聊天工具凭借强大信息处理能力，成为工作中的 “万能顾问”，高效搞定写邮件、解疑问等需求。但面对业务执行场景，它们暴露短板：仅能提供方案，缺乏行动力、无法集成内部系统、难串联复杂流程，始终是 ...