媒体InfoQ 中文2026/04/10 19:003700
• Claude 源码因 npm source‑map 配置错误泄露
• 泄露文件可逆向恢复内部实现细节
Anthropic 的 Claude 大模型源码因 npm source‑map 配置失误被意外公开。泄露的 `.map` 文件映射了压缩代码与内部实现,使外部可逆向恢复源码,暴露了 API 封装和安全审计逻辑。文章解析泄露过程、技术细节,并给出防止类似供应链泄露的最佳实践建议,强调模型产品化的全链路安全。
专题:supply-chain-security
按该标签聚合的大模型资讯列表(自动分类与标签提取)。共 8 篇文章。
媒体Martin Fowler2026/04/09 21:233730
• 播客推荐提供 AI 与微服务最新洞见
• Axios 供应链攻击展示社交工程风险
本文梳理了两期 AI 与软件工程相关播客、一次供应链安全攻击案例、Diátaxis 文档框架,并重点呈现了 Lalit Maganti 使用 Claude 为 SQLite 开发辅助工具的完整实践,包括需求拆解、代码生成、迭代调试与集成重构,展示了 AI 在复杂代码库中的实际效用与局限。
官方Simon Willison2026/04/02 13:155750
• 代理工程模式深度解析
• MoE模型Mac流处理指南
本月技术通讯聚焦AI代理工程与MoE模型应用,包含模型更新、框架移植、供应链安全等主题,为开发者提供前沿技术洞察与实践指南,兼具技术深度与实用价值。
媒体InfoQ 中文2026/03/25 23:004860
• Sonatype 发布 AI 代码生成工具 Guide
• 实时检测生成代码中的安全漏洞与依赖风险
Sonatype 推出 Guide 工具,将安全检测深度集成至 AI 代码生成流程,实时评估生成代码的漏洞与依赖风险。该工具通过静态分析与漏洞数据库联动,在 IDE 中提供上下文感知的安全建议,实现‘生成即审查’,显著降低供应链攻击风险。核心亮点在于将安全策略前置到 AI 生成环节,而非事后审计,提升开发效率与代码可信度。
媒体Latent Space2026/03/25 14:187860
• AI代理技术持续演进,框架与工具集成增强
• LiteLLM供应链漏洞引发安全讨论
本文聚焦AI代理技术、开源工具、安全事件及行业动态,涵盖Anthropic、Figma、Hermes Agent、vLLM、LiteLLM等关键进展,揭示AI生态向更成熟、安全和实用方向发展的趋势。
官方Simon Willison2026/03/25 05:115830
• 包管理器引入依赖项冷却机制
• 多个工具支持延迟安装依赖项
本文探讨了包管理器中依赖项冷却机制的引入,旨在防范供应链攻击。多个主流工具如 pnpm、Yarn、Bun、Deno、uv 和 pip 已开始支持该机制,通过设置冷却时间延迟依赖项的安装,为社区提供检测恶意修改的时间。pip 目前仅支持绝对时间,但可通过定时任务实现相对时间控制。
官方Docker Blog2026/03/04 04:306760
Docker 推出了强化系统包,将容器安全能力从镜像层面深入到基础软件栈。这些软件包由 Docker 从源码构建、加密验证并提供 SLA 支持,确保完整的溯源链和更快的漏洞修复。此次更新扩展了 DHI 的软件包库,支持 Alpine 和 Debian 发行版,并推出了新的 DHI Select 和 Enterprise 定价方案,旨在让企业级安全更加易得,…
媒体Lobsters AI2026/02/16 23:342840
GGML/GGUF文件格式因其在本地LLM运行中的普及,其潜在安全漏洞正成为焦点。讨论揭示,GGUF格式允许嵌入任意数据和复杂结构,可能被恶意利用。主要风险包括资源耗尽攻击(DoS)、通过不当数据解释导致的任意文件操作或代码执行,以及反序列化漏洞。这些问题对依赖GGML/GGUF的应用构成威胁,凸显了在加载模型时进行严格验证、资源限制和沙盒化处理的重要性,…