

















V2EX = way to explore
V2EX 是一个关于分享和探索的地方
ai 写代码是真的快,投毒是真的方便 语料投毒、中转站投毒、npm 投毒,防不胜防 中毒后的电脑接近裸奔 只能指望 cc / openai 尽快解决这个问题了

1 swaylq 23 小时 19 分钟前所以我现在只敢让它在 devcontainer 或临时机里跑,npm 锁版本加禁 postinstall ,第一次执行前先看 diff 。快是快,但把 agent 当 sudo 替身,早晚出事。 |
2 YanSeven 23 小时 16 分钟前vibing coding 投毒的原理是啥,中间把你的 prompt 请求拦截了,再里面加破坏性的 prompt 吗。 |
3 sddyzmPRO openai 这次是预防性措施,实质上没有受到任何影响,有预防,有通知,对用户来说是好的 |
4 wsseo 23 小时 14 分钟前后面的影响会越来越大 |
5 chenluo0429 23 小时 3 分钟前 via Android@YanSeven 根据你本地 tool call 的执行速度,判断你在 YOLO 模式,然后偷偷给你返回一个风险 shell 命令,可以让你拉取远程脚本执行,安装一些带毒的包,或者干脆直接读本地的一些 key 文件。 |
6 jiames1969OP @YanSeven #2 修改执行代码库,比如正确应该执行 npm instal request ,中间偷偷修改为 npm install requests ,这个 requests 就是病毒库,一不仔细就中招 |
7 66beta 22 小时 59 分钟前不要担心,这是资本家用 AI 代替人工必须付出的代价罢了 |
8 teaguexiao 22 小时 18 分钟前npm 投毒这个确实所有人都要注意,现在已经有攻击者小心把恶意包名起得和热门库极相似。我的解决方法是开一个独立虫古环境跑 vibe coding 生成的代码,正式上线前必须人工审查一遍依赖。 |
9 sddyzmPRO 审核环节要投入更多人力了 |
10 zooo 18 小时 41 分钟前第一次国外的公司以中文给我发邮件,我一开始以为是钓鱼网站 |
11 mx1700 17 小时 25 分钟前 via AndroidAxios 这次投毒和 AI 没什么关系呀,没 AI 这种投毒依旧有效且强力 |
12 andrei007 12 小时 34 分钟前这跟 vibe coding 没关系呀,是 OpenAi 人工具依赖了 Axios ,是这个工具被投毒了,并且这是供应链投毒,不是 vibe coding 投毒。 |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。