#智能时刻的观察[超话]#

安德烈·卡帕西（Andrej Karpathy）刚刚解释了当下软件领域最可怕的事情

……有人毒害了一个每月下载量达 9700 万次的 Python 包

……只需一个简单的 pip 安装，就能窃取你机器上的所有东西

……SSH 密钥
……AWS 凭证
……加密钱包
……数据库密码
……Git 凭证
……shell 历史记录
……SSL 私钥
……所有东西……

而接下来的部分应该让所有开发者都感到恐惧

……这次攻击之所以被发现，是因为攻击者写的代码太粗糙

……恶意软件占用了太多内存，导致某人的电脑崩溃

……如果攻击者编程水平更高一些

……可能几周都不会被发现

……一位开发者……使用 Cursor 时搭配了 MCP 插件

……无意中引入了 litellm 作为依赖项

……他们的机器崩溃了

……而这次崩溃拯救了数千家公司的整个基础设施不被窃取

……卡帕西的观点才是真正的警钟

……每次安装任何包时，你都在信任其依赖树中的每一个依赖项

……其中任何一个都可能被毒害

……这次是“氛围编程”救了我们

……攻击者“氛围编程”了这次攻击，结果太粗糙，无法悄无声息地运行

……下次他们就不会犯那个错误了。

#编程##人工智能##ai技术科普##ai技术派##安全提示#