National Palace Museum
PulseAugur coverage of National Palace Museum — every cluster mentioning National Palace Museum across labs, papers, and developer communities, ranked by signal.
- used by Node.js 60%
- used by TypeScript 60%
- competes with Node Package Manager 50%
- other Node Package Manager 50%
- affiliated with Python Package Index 50%
- other Tanstack 50%
- instance of JSON 50%
- other Python Package Index 50%
- other TeamPCP 50%
- other Mini Shai-Hulud 50%
- competes with TanStack Start 50%
-
Anthropic 的 Opus 4.7 表现有所提升,新增“快速模式”
Anthropic 发布了其 Opus 4.7 模型的一个更快版本,一些用户发现它比之前的版本甚至 GPT-5.5 等竞争模型都有所改进。在规划、多任务处理和创意写作等领域,性能都有所提升,一位用户报告称它更像一位资深编辑而不是事实核查员。此次更新,加上将速度提高 2.5 倍的新“快速模式”,使得 Opus 4.7 成为一些人日常工作的首选工具。
-
新的 CLI 工具让 AI 审计 Node.js 依赖项中的漏洞
一款名为 audit-mcp-cli 的新命令行工具已发布,可帮助开发人员识别和管理其 Node.js 项目依赖项中的漏洞。该工具比标准的审计命令提供更结构化、更详细的报告,包括完整的依赖链和 CVSS 分数。值得注意的是,它可以作为 MCP 服务器运行,允许 Claude 和 Cursor 等 AI 编码助手直接与其交互,以审计项目并建议修复方案。
-
MCP 依赖项扫描会错过更深层程序包中的关键漏洞
一项安全分析显示,标准的依赖项扫描工具可能会错过 Model Context Protocol (MCP) 服务器中的关键漏洞。这些工具通常只检查顶层程序包清单,未能检测到更深层已安装依赖项(如 `@modelcontextprotocol/[email protected]`)中的问题。即使扫描报告零问题,这种疏忽也可能导致存在多个高危漏洞,包括 ReDoS 和 DNS 重新绑定漏洞。
-
开发者的 AI 规则优先考虑现有工具而非自定义代码
一位开发者分享了他们为 AI 助手制定的五条规则,以防止其浪费时间执行重复性任务。这些规则优先考虑在 GitHub 和 npm 等平台上搜索现有解决方案,然后再尝试构建自定义自动化。这些指南还强调了验证库的维护情况、检查稳定的身份验证方法,以及在找不到合适的工具时记录搜索过程。这种方法显著改变了 AI 的行为,使其不再立即诉诸浏览器自动化,而是首先探索可用的库,从而节省了开发时间。
-
OpenAI 回应 TanStack 供应链攻击,确认无数据泄露
OpenAI 详细介绍了其对针对流行的 npm 包 TanStack 的“Mini Shai-Hulud”供应链攻击的回应。在攻击影响了多个常用 npm 包后,该公司的安全团队调查了内部系统,未发现用户数据泄露或未经授权访问的证据。虽然 OpenAI 的核心服务未直接受到影响,但建议 macOS 用户在 2026 年 6 月 12 日前更新其 OpenAI 应用程序,以确保本地环境安全。
-
MCP 包存在隐藏的漏洞和恶意注册风险
对 npm 和 PyPI 上的 31 个 MCP 服务器包进行的安全性审计显示存在严重漏洞,其中 11 个包在其安装的依赖项树中总共包含 54 个独特的漏洞。这凸显了一个关键缺陷,即直接的包检查不足够,因为恶意代码或过时的依赖项可能隐藏在更广泛的安装树中。由于其分散的性质、缺乏中央注册机构以及严重依赖 AI 生成的推荐(这些推荐可能无意中建议了受损的包),MCP 生态系统特别容易受到恶意注册和供应链攻击的影响。
-
TeamPCP黑客通过恶意VS Code扩展入侵GitHub内部代码库
黑客组织TeamPCP已入侵GitHub的内部代码库,一名GitHub员工安装了恶意VS Code扩展后,可能导致源代码泄露。该组织声称已窃取约3800个代码库,并试图以至少5万美元的价格出售被盗数据,威胁称若无买家将公开泄露。此次事件是针对开发者工具和生态系统的软件供应链攻击日益增多的趋势的一部分。
-
AI代理现可接受闪电网络支付
一套新的开源中间件包已发布,用于将闪电网络支付集成到AI代理框架中。这些包可在npm上获取,允许开发人员使用L402 HTTP扩展来控制对AI工具和服务的访问。这使得API调用的直接点对点微支付成为可能,绕过了传统的支付处理商,并可能降低用户和开发者的成本。
-
开发者发布22个OSS软件包,优先解决独特问题
一位开发者在24小时内发布了22个跨多个注册表的开源软件包,并遵循一项严格的原则:每个软件包都必须解决现有替代方案未能解决的特定问题。该开发者专注于解决常见LLM故障的工具,例如处理CSV边缘情况和不正确的shell转义,并开发了一个具有Python绑定的Rust RAG漂移检测库。故意排除了其他几个软件包创意,如base64或UUID编码,因为它们缺乏独特价值或易于被LLM处理。
-
在 MCP 解决访问问题后,ToolCairn 解决了代理工具选择问题
MCP(模型通信协议)标准通过提供统一的接口解决了代理访问工具的挑战。然而,一个新的问题出现了,代理会因过多的工具选项而不知所措,难以选择最适合特定任务的工具。为了解决这个问题,ToolCairn 被开发为一个 MCP 服务器,它帮助代理对请求进行分类,搜索和优化工具选择,检查兼容性问题,并报告结果,该服务器从超过 35 个开源注册表的图中提取信息。
-
开源仓库审计发现星标具有误导性,下载量显示真实使用情况
对25个开源仓库的审计显示,GitHub星标是衡量实际使用情况的糟糕指标,下载量显示了显著更高的采用率。作者分析了来自GitHub、npm、crates.io和PyPI的数据,将星标与包安装量进行比较。虽然大多数仓库的星标很少或没有,但有几个包在发布后几周内就获得了数千次下载,表明用户真正参与其中。
-
Anthropic 的 AI 代理协议存在严重安全漏洞
在 Anthropic 的模型上下文协议 (MCP) 中发现了一个严重的架构性漏洞,该协议是连接 AI 代理与外部工具的标准。OX Security 的研究表明,该协议的 STDIO 传输允许在握手验证之前执行任意命令字符串,而无需进行验证,从而造成了重大的安全风险。尽管存在被数百万次下载的应用程序广泛利用的可能性,Anthropic 仍坚持认为这种行为是故意的且安全的,并拒绝了提议的修复方案。
-
BuyWhere MCP 服务器通过 npm SEO 和注册表列表获得关注
BuyWhere 是一款专为 AI 代理设计的商品搜索 MCP 服务器,在没有付费分发的情况下,每周获得了超过 2,000 次 npm 下载量。其增长得益于优化 npm 搜索关键词、创建详细的 README 以便 AI 代理和开发人员发现,以及在官方 MCP 注册表中列出。该公司还正在举办一项开发者挑战赛,以进一步鼓励采用,并计划扩大其 SEO 工作和交叉发布策略。
-
x402协议通过Base上的加密小额支付实现付费MCP服务器
模型上下文协议(MCP)正在通过引入利用x402协议进行按请求付费的付费服务器而不断发展。这一新浪潮的商业MCP服务器提供了对高级数据和服务的访问,超越了最初的基础设施建设。x402协议利用Base区块链上的HTTP 402和USDC,实现了无缝的机器对机器小额交易,这对于自主代理至关重要。
-
用五层防御保护你的 npm CI 流水线
本文概述了一种增强 npm 持续集成 (CI) 流水线安全性的五层策略,解决了频繁安装依赖所带来的巨大攻击面。提出的层级包括:强制使用 "npm ci" 进行确定性安装;使用 "lockfile-lint" 等工具验证 lockfile 的完整性;利用 GitHub 的 dependency-review-action;将 GitHub Actions 固定到特定的提交 SHA 而非可变的标签;以及采用 OIDC 进行可信发布,以消除…
-
Helmlab 推出新型色彩空间,以改进 UI 设计和生成
研究人员推出了 Helmlab,这是一个专为 UI 设计系统设计的新型色彩空间系列。其中一个组件 MetricSpace 提供了改进的色彩差异预测,在多个数据集上优于 CIEDE2000。另一个组件 GenSpace 针对生成高质量渐变和调色板进行了优化,在基准测试中优于 OKLab。
-
新的加密系统可保护AI软件包生态系统免受依赖混淆攻击
研究人员开发了一种新的加密系统,以增强AI软件包生态系统在面对依赖混淆攻击时的安全性。该系统引入了加密注册表身份、发布者和注册表的双签名模型以及权威命名空间绑定,以防止恶意软件包替换。这种多层防御旨在消除软件分发中的加密漏洞,并可扩展以包含AI生成来源。
-
BuyWhere MCP 服务器实现官方注册表收录,提升 AI 代理可发现性
BuyWhere 已成功被列入官方 MCP 注册表,这是 AI 代理可发现性的关键一步。此次收录允许 Claude 和 Cursor 等 AI 代理查找并集成 BuyWhere 的产品目录 API,该目录包含六个东南亚市场的超过 5000 万种产品。该公司强调,注册表是 AI 代理的主要发现层,超越了 npm 或 GitHub 等传统方法。
-
AI 代理通过新的加密签名协议在无线电上保护支付
Agentsign.dev 的首席执行官/创始人 Raza Sharif 开发了 MCPS(模型上下文协议安全),以解决广泛使用的 AI 代理 MCP 标准中的关键安全漏洞。MCPS 在 MCP 消息中引入了加密签名、随机数和时间戳验证,以防止提示注入和重放攻击等问题。为了证明其传输无关性,Sharif 成功地通过 868 MHz LoRa 无线网络发送了经过加密签名的 MCPS 支付,绕过了传统的互联网和云基础设施。
-
BuyWhere MCP 未能成功在 Product Hunt 上发布,但发布了内容并获得了自然流量
BuyWhere MCP 在 5 月 6 日计划的 Product Hunt 发布过程中遇到了重大障碍,主要是由于凭证被阻止,导致无法在各种平台上设置必要的人工账户。尽管发布失败,团队还是成功地在 dev.to 和 Hashnode 上发布了内容,在 npm 上发布了 mcp-server 的 0.3.6 版本,并启动了一个开发者竞赛。他们了解到分发需要访问凭证,并且自然发现是有效的,因此决定将来优先使用可用渠道进行发布。