根据 Beating 的监测,5 月 12 日 3:20–3:26(UTC+8),与 TeamPCP 相关的攻击者劫持了 TanStack、Amazon 的 OpenSearch 以及 Mistral 的官方发布流水线,在 npm 和 PyPI 上投放了 84 个恶意软件包版本。受影响的软件包包括 @tanstack/react-router(每周下载 10M+)、@opensearch-project/opensearch(每周下载 1.3M)以及 Mistral 的 mistralai 客户端。恶意软件包通过利用 GitHub Actions 的配置缺陷来获取合法的临时发布凭证,从而绕过安全信任机制,使其能够获取有效的 SLSA 构建溯源签名。
Socket.dev 的逆向分析显示,即便在从软件包中移除之后,蠕虫仍会通过向 Claude Code 的执行钩子(.claude/settings.json)以及 VS Code 的任务配置(.vscode/tasks.json)注入代码来持续存在。对于 Python 软件包,恶意软件会在导入时静默启动,无需调用任何函数。受影响的设备应视为已遭入侵;用户必须立即轮换 AWS、GitHub、npm 和 SSH 凭证,并从干净的 lockfiles 重新安装。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
10 年未来公司 Thinking Machines 发表即时互动 AI 模型,主打「边说边聽边作业」
由前 OpenAI 前高層 Mira Murati 与 John Schulman 共同創辦、百亿美元估值的人工智慧新創公司 Thinking Machines,週二推出首个能「边说边聽」的全雙工 AI 模型预覽版,延遲低至 0.4 秒,挑戰现有人机即时互动模式。 (輝达注资 Thinking Machines Lab 部署 Vera Rubin 提升前沿模型效能) Thinking Machines 新模型:打破輪流说話的舊模式 现有所有主流 AI 模型,运作方式都是「使用者输入,模型等待,然后回应」。前 OpenAI 技術长 Mira Murati 与 OpenAI 共同創辦人 John Schulman 认为这種輪流回覆的过程就像傳訊息,並不是真正的对話。如今两人聯手創立的 Thinking Machines Lab,於 5 月 11 日正式发表全新「互动模型(Interaction Models)」的研究预覽版,試圖从根本上改變这个现狀。 人們可以同时交談、傾聽、觀看、思考並協作,且是在即时的狀態下。我們设计了一種以同樣方式与人合作的 AI。 我們分享我們的做法、早期成果,以及
鏈新聞abmedia37 分钟前
Ixirpad 与 Cware Labs 合作,以支持 AI 和 Web3 初创公司
据 5 月 11 日的一则公告,Ixirpad 与 Cware Labs 签署了战略合作伙伴关系,以加速 Web3 行业的可持续基础设施发展。Cware Labs 作为一家风险投资工作室,将识别并支持具有高潜力的区块链和 AI 项目。此次合作旨在通过提供运营指导、战略支持以及接入开发资源,帮助新兴公司从早期概念过渡到可供投资、具备规模化能力的业务。Cware Labs 还将对集成到 Ixirpad 生态系统的项目开展尽职调查,重点关注代币经济、合规以及长期收入可持续性。
GateNews1小时前
Claude Code Agent 视图:单一画面管理并行会话
Anthropic 5 月 11 日为 Claude Code 推出新功能「Agent View」,把同时运作的多个 Claude Code 工作階段集中在單一畫面管理、不需要再用多个終端分頁来回切換。根據 Anthropic 官方部落格,这項功能以 Research Preview 形式上線、适用 Pro、Max、Team、Enterprise 与 Claude API 方案。官方 X 帳號发布的單篇推文獲得超过 1.8 万次按讚,是該帳號近期聲量最高的产品更新。 Agent View 介面:一張清單管理所有 session Agent View 提供集中式儀表板、列出所有作用中的 Claude Code session。每一列顯示四項资訊:session 识別碼、是否在等待使用者输入、最近一次模型回应內容预覽、最后一次互动的时间戳。 互动方式: 进入方式:在 Claude Code 中按左鍵或執行 claude agents 指令 內聯回覆:可以直接在清單列中「窺視」上一輪对話內容、就地回应;不需要切回該 session 背景執行:在现有 session 內用 /bg 指令切到背景
鏈新聞abmedia1小时前
卡拉帕蒂力挺用于大型语言模型的 HTML 输出,预测交互式神经视频将成为最终形态
据 Andrej Karpathy 称,这位 OpenAI 联合创始人以及“vibe coding”概念的创作者,今天他认可了 Claude Code 团队的做法:在大型语言模型的输出中使用 HTML,而不是 Markdown。Karpathy 为 AI 交互界面绘制了演进路线图:从纯文本到 Markdown,再到 HTML,随后经历多种中间形式,最终达到由扩散模型直接生成的交互式神经视频这一最终阶段。 Karpathy 将这种演进归因于人类大脑的带宽。他指出,大约有三分之一的人脑在并行处理视觉信号——这是一条用于信息输入的“十车道高速公路”。他认为,最理想的人机交互应该将用于人类输入的高效语音与来自 AI 的高带宽视觉输出(图像、动画或视频)结合起来。他建议用户立刻在提示中加入“以 HTML 形式进行结构化回复”,作为近期期待的改进。
GateNews1小时前
Austrac 警告:随着澳大利亚于 7 月 1 日扩展反洗钱规则,存在由 AI 驱动的洗钱风险
据 Austrac 称,5 月 12 日,澳大利亚金融情报机构警告称,人工智能正在通过让犯罪分子更快、更大规模地伪造身份、伪造文件并隐藏赃款,从而提高洗钱风险。 从 2026 年 7 月 1 日起,房地产经纪人、贵金属和宝石经营者,以及信托和公司服务提供商将纳入澳大利亚的反洗钱与反恐融资规则;Austrac 指出,许多人面临较高或非常高的被滥用风险。
GateNews1小时前
Google:大型语言模型被用于实际攻击,AI 可绕过双重认证安全机制
据 CoinEdition 于 5 月 12 日报道,Google 威胁情报小组发布报告警告,攻击者已在影响全球系统的实际网络攻击中使用大型语言模型,并确认黑客已开发基于 Python 的零日漏洞,可绕过双重认证(2FA)安全机制;Google 称,相关活动与国家级网络攻击以及地下黑客网络中的 AI 工具滥用存在关联。 AI 工具在网络攻击中的具体应用 根据 Google 威胁情报小组报告,AI 工具正在帮助攻击者在网络攻击的几乎每个阶段提升能力,包括:更快速发现软件漏洞、自动化部分攻击流程,以及改善网络钓鱼(Phishing)及恶意软件创建等攻击手法。 报告记录了一个具体案例:黑客利用基于 Python 的零日漏洞成功绕过双重认证(2FA);Google 说明,该攻击仍需有效的登录凭证,显示漏洞源于系统设计本身,而非技术性软件缺陷。 报告另指出,攻击者利用包含数千个已知漏洞和利用示例的安全漏洞数据库训练其攻击方法,以识别帮助发现新弱点的模式;黑客同时利用 AI 创建虚假代码、篡改有效载荷及编写动态脚本以规避检测,在某些情况下,AI 系统可即时向受感染设备发送指令。 中朝相关组织:报告
Market Whisper1小时前
