【代码面试变投毒现场：当AI成为程序员的防弹衣】

有开发者在LinkedIn求职时，遭遇了伪装成“代码审核”的技术投毒。骗子盗用真实工程师的GitHub身份，利用npm install会自动运行prepare生命周期脚本的机制，在测试文件中埋入后门。只要你在本地安装依赖，电脑就会被远程控制。

最妙的不是骗局多精巧，而是作者的破局方式：他没用肉眼看代码，而是把代码丢给了一个只读权限的AI Agent。AI在几秒钟内就揪出了这段伪装成“菜鸟新手写的烂代码”的恶意Payload。

如今针对程序员的社工攻击越来越隐蔽，利用求职焦虑让人防不胜防。但这件事展示了另一个维度：AI正在从生产力工具，演变为我们对抗数字世界人性漏洞的安全屏障。

roman.pt/posts/linkedin-backdoor

#人工智能 #AI创造营 #网络安全 #程序员