登录体验完整功能(收藏、点赞、评论等) — 已累计有 12599 人加入

npm仓库检出两款恶意开发包 波及AI应用开发生态供应链安全

详情页推荐

全球最大的前端开源软件仓库npm近期检出两款恶意开发包pgserve、automagik,两类包伪装成常规开发工具,可窃取用户数据、账号凭证与核心密钥,还会感染所有基于其开发的软件包,极端情况下可造成企业级系统完全接管。当前大量AI应用依赖npm生态组件,风险已传导至生成式AI产品落地全链路。

过去两年生成式AI应用的爆发式增长,直接拉高了开发端对效率工具的需求,不少AI开发者为了快速完成大模型API对接、向量数据库部署等环节,会直接从开源仓库拉取第三方组件,这也让恶意代码投毒有了可乘之机。

本次被发现的两款恶意包中,pgserve伪装成PostgreSQL数据库连接工具,刚好击中了当前AI应用开发的高频需求——不少开发者会使用PostgreSQL搭载向量插件存储大模型相关的非结构化数据,对这类工具的搜索量近期上涨了3倍以上。而automagik则伪装成自动化开发脚本,主打降低重复代码编写工作量,同样击中了AI应用快速迭代的痛点。

免责声明:本网站AI资讯内容仅供学习参考,不构成任何建议,不对信息准确性与完整性负责。