这一警告来自Koi Security的Oren Yomtov，他在周一的博客中披露了在多个包管理器中发现的六个零日漏洞，这些漏洞可能允许黑客绕过去年11月Shai-Hulud攻击npm并破坏超过700个包后推荐的防护措施。

如今，TypeScript 已跻身主流编程语言之列，但另一方面，微软将其编译器从自身语言迁移至 Go 的举动，也在无形中承认了它在性能层面的物理上限。正如 RedMonk 分析师 Stephen O’Grady 去年的疑问： ...

以色列研究员发现npm和yarn平台存在六个零日漏洞，攻击者可绕过去年11月Shai-Hulud蠕虫攻击后推荐的防御措施。这些名为PackageGate的漏洞能够绕过禁用生命周期脚本和锁文件完整性检查两项关键防护。目前pnpm、vlt和Bun平台已修复相关漏洞，但npm和yarn尚未处理。研究员建议JavaScript开发者转向已修复漏洞的平台，并保持包管理器及时更新。

亚马逊云科技近日发布了一则安全公告，确认其部分由亚马逊云科技管理的热门开源 GitHub 仓库存在配置问题。该高危漏洞被命名为 CodeBreach，可能导致恶意代码被引入仓库，甚至使依赖 AWS CodeBuild 的仓库遭到接管。 Wiz ...

Google 正式发布了 FunctionGemma，这是其 Gemma 3 270M 模型的一个全新轻量化版本。该模型经过专门微调，能够将自然语言指令精准转化为结构化的函数和 API 调用，从而让 AI 代理超越“空谈”，具备真正的执行力。

他强调有1009个Clawdbot网关暴露在公共互联网上，并且数百个没有身份验证，这些能够通过Shodan搜索立即发现。这可能会导致API密钥完全暴露、私人聊天历史泄露，并且会容易导致身份劫持，甚至远程运行root级命令。