ai 写代码是真的快,投毒是真的方便 语料投毒、中转站投毒、npm 投毒,防不胜防 中毒后的电脑接近裸奔 只能指望 cc / openai 尽快解决这个问题了
 |
1
swaylq 3 小时 48 分钟前
所以我现在只敢让它在 devcontainer 或临时机里跑,npm 锁版本加禁 postinstall ,第一次执行前先看 diff 。快是快,但把 agent 当 sudo 替身,早晚出事。
|
 |
2
YanSeven 3 小时 45 分钟前
vibing coding 投毒的原理是啥,中间把你的 prompt 请求拦截了,再里面加破坏性的 prompt 吗。
|
 |
3
sddyzm PRO openai 这次是预防性措施,实质上没有受到任何影响,有预防,有通知,对用户来说是好的
|
 |
4
wsseo 3 小时 43 分钟前
后面的影响会越来越大
|
 |
5
chenluo0429 3 小时 32 分钟前 via Android
@YanSeven 根据你本地 tool call 的执行速度,判断你在 YOLO 模式,然后偷偷给你返回一个风险 shell 命令,可以让你拉取远程脚本执行,安装一些带毒的包,或者干脆直接读本地的一些 key 文件。
|
 |
6
jiames1969 OP @YanSeven #2 修改执行代码库,比如正确应该执行 npm instal request ,中间偷偷修改为 npm install requests ,这个 requests 就是病毒库,一不仔细就中招
|
 |
7
66beta 3 小时 28 分钟前
不要担心,这是资本家用 AI 代替人工必须付出的代价罢了
|
 |
8
teaguexiao 2 小时 47 分钟前
npm 投毒这个确实所有人都要注意,现在已经有攻击者小心把恶意包名起得和热门库极相似。我的解决方法是开一个独立虫古环境跑 vibe coding 生成的代码,正式上线前必须人工审查一遍依赖。
|
|
9
sddyzm PRO 审核环节要投入更多人力了
|
Select Language