一位开发者在构建用于审计 AI 模型代币成本的工具时,发现了一个潜在的供应链漏洞。该工具 mcp-tollbooth,旨在扫描 Claude Desktop 和 Cursor 等 AI 客户端的本地配置,以识别已安装服务器的过度代币使用情况。在开发过程中,创建者发现一个名为 'mcp-server-fetch' 的包同时存在于 PyPI(Python 包索引)和 npm(Node 包管理器)上。虽然 PyPI 版本是合法的,但 npm 版本被发布为一个安全研究的“金丝雀”,以展示攻击者如何利用包管理器之间的混淆来分发恶意代码。 AI
影响 突显了 AI 开发环境中潜在的供应链攻击向量,强调了仔细进行包管理的重要性。
排序理由 该条目描述了一个工具及其开发过程中发现的潜在安全漏洞,而非核心 AI 发布或重大的行业事件。
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →