Tanstack
PulseAugur coverage of Tanstack — every cluster mentioning Tanstack across labs, papers, and developer communities, ranked by signal.
-
带有有效来源的恶意包利用 GitHub Actions 漏洞
一个被称为“Mini Shai-Hulud”的复杂攻击活动,由 TeamPCP 团队发起,已成功攻破 npm 和 PyPI 上的众多开源包,包括 TanStack、Mistral AI 和 UiPath 等知名项目。攻击者利用 GitHub Actions 的弱点,发布带有有效 SLSA 来源的恶意版本包,而 SLSA 来源曾被认为是保证构建过程完整性的安全措施。这是首次记录到恶意包绕过 SLSA 构建级别 3 的事件,引发了对软件供…
-
AI开发者工具扩大攻击面,需要新的事件响应机制
近期发生的AI开发者供应链事件,例如2026年5月的Mini Shai-Hulud攻击浪潮,凸显了一个新现实:AI工具、软件包和CI系统相互关联。受损的AI SDK、编辑器扩展或包管理器可能导致更广泛的系统受损,影响开发者工作站和凭证。事件响应现在必须考虑扩大的影响范围,包括对敏感信息、本地文件和CI/CD管道的访问,而不仅仅是将其视为简单的依赖更新。
-
TeamPCP 利用 GitHub、Grafana 和 VS Code 进行供应链攻击
一个由 TeamPCP 组织发起的一系列协调网络攻击,利用了整个软件供应链的漏洞。这些攻击始于一个在 GitHub 员工设备上的恶意 VS Code 扩展,导致数千个内部代码库被窃取。其他事件包括通过未轮换的令牌泄露 Grafana,一个广泛使用的 GitHub Action 被攻破,以及在公共电子表格中发现敏感凭证,这凸显了供应链风险的普遍性。
-
Perplexity 开源 Bumblebee,扫描开发者端点以防范供应链攻击
Perplexity 已开源 Bumblebee,这是一款旨在扫描开发者端点潜在供应链攻击向量的新工具。这款只读扫描器可盘点 macOS 和 Linux 系统上已安装的软件包、AI 代理配置以及编辑器/浏览器扩展。Bumblebee 旨在通过直接检查日益成为攻击者目标的本地开发者机器状态,来填补现有安全工具留下的空白。
-
TanStack 在供应链攻击后考虑实行邀请制拉取请求
开源项目 TanStack 在经历供应链攻击后,正在考虑实施邀请制拉取请求。一个恶意蠕虫利用了 GitHub Actions 的错误配置来污染共享缓存,从而破坏了该项目。此次事件促使 TanStack 探索更严格的贡献方式,以防止未来发生未经授权的代码注入。
-
OpenAI 确认 TanStack 供应链攻击后发生数据泄露
OpenAI 已确认因针对 TanStack 的供应链攻击而发生安全漏洞。此次事件导致两名员工工作站遭到未经授权的访问,部分身份验证信息被泄露。此次漏洞凸显了软件供应链持续存在的风险以及敏感数据可能被暴露的潜在后果。
-
Anthropic 的 Opus 4.7 表现有所提升,新增“快速模式”
Anthropic 发布了其 Opus 4.7 模型的一个更快版本,一些用户发现它比之前的版本甚至 GPT-5.5 等竞争模型都有所改进。在规划、多任务处理和创意写作等领域,性能都有所提升,一位用户报告称它更像一位资深编辑而不是事实核查员。此次更新,加上将速度提高 2.5 倍的新“快速模式”,使得 Opus 4.7 成为一些人日常工作的首选工具。
-
黑客通过TanStack库漏洞窃取OpenAI代码
黑客利用TanStack软件库中的漏洞,访问了OpenAI部分代码库。该公司表示,在此次事件中没有用户数据或生产系统受到损害。作为回应,OpenAI正在轮换其数字证书。
-
OpenAI 回应 TanStack 供应链攻击,确认无数据泄露
OpenAI 详细介绍了其对针对流行的 npm 包 TanStack 的“Mini Shai-Hulud”供应链攻击的回应。在攻击影响了多个常用 npm 包后,该公司的安全团队调查了内部系统,未发现用户数据泄露或未经授权访问的证据。虽然 OpenAI 的核心服务未直接受到影响,但建议 macOS 用户在 2026 年 6 月 12 日前更新其 OpenAI 应用程序,以确保本地环境安全。
-
TeamPCP黑客通过恶意VS Code扩展入侵GitHub内部代码库
黑客组织TeamPCP已入侵GitHub的内部代码库,一名GitHub员工安装了恶意VS Code扩展后,可能导致源代码泄露。该组织声称已窃取约3800个代码库,并试图以至少5万美元的价格出售被盗数据,威胁称若无买家将公开泄露。此次事件是针对开发者工具和生态系统的软件供应链攻击日益增多的趋势的一部分。