ai 写代码是真的快,投毒是真的方便 语料投毒、中转站投毒、npm 投毒,防不胜防 中毒后的电脑接近裸奔 只能指望 cc / openai 尽快解决这个问题了
 |
1
swaylq 15 小时 2 分钟前
所以我现在只敢让它在 devcontainer 或临时机里跑,npm 锁版本加禁 postinstall ,第一次执行前先看 diff 。快是快,但把 agent 当 sudo 替身,早晚出事。
|
 |
2
YanSeven 14 小时 59 分钟前
vibing coding 投毒的原理是啥,中间把你的 prompt 请求拦截了,再里面加破坏性的 prompt 吗。
|
 |
3
sddyzm PRO openai 这次是预防性措施,实质上没有受到任何影响,有预防,有通知,对用户来说是好的
|
 |
4
wsseo 14 小时 57 分钟前
后面的影响会越来越大
|
 |
5
chenluo0429 14 小时 47 分钟前 via Android
@YanSeven 根据你本地 tool call 的执行速度,判断你在 YOLO 模式,然后偷偷给你返回一个风险 shell 命令,可以让你拉取远程脚本执行,安装一些带毒的包,或者干脆直接读本地的一些 key 文件。
|
 |
6
jiames1969 OP @YanSeven #2 修改执行代码库,比如正确应该执行 npm instal request ,中间偷偷修改为 npm install requests ,这个 requests 就是病毒库,一不仔细就中招
|
 |
7
66beta 14 小时 42 分钟前  1
不要担心,这是资本家用 AI 代替人工必须付出的代价罢了
|
 |
8
teaguexiao 14 小时 2 分钟前
npm 投毒这个确实所有人都要注意,现在已经有攻击者小心把恶意包名起得和热门库极相似。我的解决方法是开一个独立虫古环境跑 vibe coding 生成的代码,正式上线前必须人工审查一遍依赖。
|
|
9
sddyzm PRO 审核环节要投入更多人力了
|
 |
10
zooo 10 小时 24 分钟前
第一次国外的公司以中文给我发邮件,我一开始以为是钓鱼网站
|
 |
11
mx1700 9 小时 8 分钟前 via Android
Axios 这次投毒和 AI 没什么关系呀,没 AI 这种投毒依旧有效且强力
|
 |
12
andrei007 4 小时 18 分钟前
这跟 vibe coding 没关系呀,是 OpenAi 人工具依赖了 Axios ,是这个工具被投毒了,并且这是供应链投毒,不是 vibe coding 投毒。
|
|
13
jiames1969 OP 最近中转站投毒 你们没注意到吗
|
 |
14
ideard 1 小时 13 分钟前
实在不行委屈一下自己,用 Claude Pro 吧,尼区 Claude Pro 才 86 块钱一个月,完全榨干相当于 100 ~ 150 美元 API 计费
SLA 比中转站高得多,Apple store 还能封号退款 https://www.sunp.eu.org/t/1201760 |
Select Language