ai 写代码是真的快,投毒是真的方便 语料投毒、中转站投毒、npm 投毒,防不胜防 中毒后的电脑接近裸奔 只能指望 cc / openai 尽快解决这个问题了
 | 1 swaylq 3 天前 所以我现在只敢让它在 devcontainer 或临时机里跑,npm 锁版本加禁 postinstall ,第一次执行前先看 diff 。快是快,但把 agent 当 sudo 替身,早晚出事。 |
 | 2 YanSeven 3 天前 vibing coding 投毒的原理是啥,中间把你的 prompt 请求拦截了,再里面加破坏性的 prompt 吗。 |
 | 3 sddyzm PRO openai 这次是预防性措施,实质上没有受到任何影响,有预防,有通知,对用户来说是好的 |
 | 4 wsseo 3 天前 后面的影响会越来越大 |
 | 5 chenluo0429 3 天前 via Android @YanSeven 根据你本地 tool call 的执行速度,判断你在 YOLO 模式,然后偷偷给你返回一个风险 shell 命令,可以让你拉取远程脚本执行,安装一些带毒的包,或者干脆直接读本地的一些 key 文件。 |
 | 6 jiames1969 OP @YanSeven #2 修改执行代码库,比如正确应该执行 npm instal request ,中间偷偷修改为 npm install requests ,这个 requests 就是病毒库,一不仔细就中招 |
 | 7 66beta 3 天前  1 不要担心,这是资本家用 AI 代替人工必须付出的代价罢了 |
 | 8 teaguexiao 3 天前 npm 投毒这个确实所有人都要注意,现在已经有攻击者小心把恶意包名起得和热门库极相似。我的解决方法是开一个独立虫古环境跑 vibe coding 生成的代码,正式上线前必须人工审查一遍依赖。 |
| 9 sddyzm PRO 审核环节要投入更多人力了 |
 | 10 zooo 3 天前 第一次国外的公司以中文给我发邮件,我一开始以为是钓鱼网站 |
 | 11 mx1700 2 天前 via Android Axios 这次投毒和 AI 没什么关系呀,没 AI 这种投毒依旧有效且强力 |
 | 12 andrei007 2 天前 这跟 vibe coding 没关系呀,是 OpenAi 人工具依赖了 Axios ,是这个工具被投毒了,并且这是供应链投毒,不是 vibe coding 投毒。 |
| 13 jiames1969 OP 最近中转站投毒 你们没注意到吗 |
 | 14 ideard 2 天前 实在不行委屈一下自己,用 Claude Pro 吧,尼区 Claude Pro 才 86 块钱一个月,完全榨干相当于 100 ~ 150 美元 API 计费 SLA 比中转站高得多,Apple store 还能封号退款 t/1201760 |
| 15 jiames1969 OP @ideard #14 卧槽 真香 |
Select Language