最新

有没有人对他们的人工智能助手有这样的信任？如果有，你是如何设置的，以至于可以信任它做出与你相同的决策？

axios@1.14.1，发布于2026年3月31日，引入了一个新的依赖包plain-crypto-js@4.2.1，而在axios@1.14.0中并不存在。这个包是恶意的——它包含一个混淆的后安装脚本（setup.js），该脚本会下载并执行远程负载。 <p>证据</p> <p>axios@1.14.0的依赖包：follow-redirects、form-data、proxy-from-env（3个依赖）</p> <p>axios@1.14.1的依赖包：相同的3个 + plain-crypto-js（新包，之前的任何axios版本中都没有）</p> <p>plain-crypto-js的脚本中有“postinstall”: “node setup.js”</p> <p>setup.js被严重混淆——它解码base64字符串，将脚本写入操作系统临时目录，通过shell（macOS）或PowerShell（Windows）执行这些脚本，然后自我删除。</p>