以色列研究员发现npm和yarn平台存在六个零日漏洞，攻击者可绕过去年11月Shai-Hulud蠕虫攻击后推荐的防御措施。这些名为PackageGate的漏洞能够绕过禁用生命周期脚本和锁文件完整性检查两项关键防护。目前pnpm、vlt和Bun平台已修复相关漏洞，但npm和yarn尚未处理。研究员建议JavaScript开发者转向已修复漏洞的平台，并保持包管理器及时更新。

VoidZero 近日宣布推出 Oxfmt 的 Alpha 版本。这是一款基于 Rust 实现的代码格式化工具，面向 JavaScript 与 TypeScript 项目，目标是在大幅提升性能的同时，保持与 Prettier 输出结果的高度一致。作为 VoidZero 更大规模 Oxc 工具链计划的一部分，Oxfmt 在官方测试中展现出比 Prettier ...

Clawdbot 是一个开源的个人 AI 助手（MIT 许可证），由 Peter Steinberger 创建。和运行在云端的 ChatGPT 或 Claude 不同，Clawdbot 跑在你自己的电脑上，并且能接入你已经在用的聊天平台，比如 钉钉、飞书 等。 Clawdbot 真正出圈的点，是它能自主完成现实世界里的任务：管理邮件、创建日历日程、帮你做航班值机、按计划运行后台任务……但最吸引我的 ...

他强调有1009个Clawdbot网关暴露在公共互联网上，并且数百个没有身份验证，这些能够通过Shodan搜索立即发现。这可能会导致API密钥完全暴露、私人聊天历史泄露，并且会容易导致身份劫持，甚至远程运行root级命令。