I kēlā me kēia pule, ke nānā nei kā mākou ʻōnaehana ʻike malware i nā tausani o nā pūʻolo hou a hōʻano hou ʻia ma nā papa inoa lehulehu e like me npm lāua ʻo PyPI. ʻAʻole ʻokoʻa kēia pule.
Ua hōʻoia mākou ma mua o 90 mau pūʻolo ʻino ma waena o Iune 26 a me Iulai 3, 2026, ma o npm a me PyPI, me kekahi mau hoʻolaha e hoʻomau nei mai nā pule i hala a me nā mea hou e puka mai ana.
ka nolimit-agent ua hoʻomau ka hoʻolaha i ka hoʻopuka ʻana i nā mana hou (1.0.306, 1.0.315, 1.0.316), e hoʻonui ana i ka ʻōnaehana phishing code-device Microsoft 365 a mākou i palapala kikoʻī ai i kā mākou Hōʻike DeviceDoor. ka anthropic-toolkit ʻo ka hui ka hoʻolaha hou nui, me 20 mau mana i hōʻoia ʻia ma Iune 30 wale nō - e kuhikuhi pololei ana i nā pūʻolo e pili ana me nā mea hana hoʻomohala a Anthropic. ʻO ka cursed-modules ua paʻi ka ʻohana ma mua o 15 mau mana ma waena o Iulai 1 a me Iulai 2 ma nā ʻaoʻao ʻelua standard a me nā helu mana i hoʻonui ʻia (999.x), ma hope o ka puke pāʻani huikau hilinaʻi. ʻO ka date-fns-lite ua hoʻomau ka hui (5 mau mana, Iulai 2) i ke ʻano o ka hoʻohālike ʻana i nā pūʻolo pono kūpono a hoʻohana nui ʻia.
Ua hoʻokumu ʻia ke ʻano hoʻolālā hana AI i ka pule i hala me ollama-helpers a openai-agents-helpers i hoʻonui ʻia i loko o kēia wā me ai-explain, ai-sdk-helpers, a @langgraphjs/toolkit, ua hōʻoia ʻia ma waena o Iune 28 a me Iune 30. ʻO ka @szc-ft/mcp-szcd-client ua hoʻokomo ka pūʻolo (nā mana 0.38.0 a me 0.39.0, i hōʻoia ʻia Iulai 2) i kahi ʻano hou a mākou e hahai nei SkillLeak: he mea wehewehe hōʻoia i hūnā ʻia i loko o kahi mākaukau MCP ma mua o kahi makau hoʻonohonoho, ʻike ʻole ʻia e nā scanners e kū ana ma hope o ka hoʻonohonoho ʻana. Ua paʻi mākou i kahi ka loiloi piha o SkillLeak ma aneʻi.
ʻO kēia kiʻi paʻi o kēlā me kēia pule he ʻāpana ia o kā mākou hana mau Hōʻuluʻulu Manaʻo Koda ʻIno, kahi a mākou e hōʻoia ai i nā hoʻoweliweli hou a hāʻawi i ka ʻike hana e kōkua i nā hui DevSecOps e pale i kā lākou pipelinema mua o ka hiki ʻana mai o ka pōʻino. E wehewehe kākou i nā mea a mākou i ʻike ai i kēia pule a me ke kumu o kona koʻikoʻi.
90+ Pūʻolo. Hoʻokahi Pule. ʻO ka Pipeline ʻO ia ka Pahuhopu.
Hōʻike ka hōʻuluʻulu manaʻo o kēia pule i kahi hoʻololi i ka manaʻo o ka mea hoʻouka, ʻaʻole wale ka nui, akā ʻo ka muacision. Ke kahe mau ʻana o ka mana, nā hui mea hana AI, ka ʻaihue palapala hōʻoia MCP-layer, a me nā hoʻouka kaua huikau hilinaʻi e kūʻē i nā inoa inoa monorepo kūloko. Hoʻopaʻa ʻia a hoʻomau ʻia nā hoʻolaha. ʻAʻole he pale ka scan hebedoma.
ʻŌlelo Aʻo no ka polokalamu ʻino mua o Xygeni nānā i ka npm, PyPI, a me nā papa inoa ʻē aʻe i ka manawa maoli, e hōʻailona ana i nā hoʻoweliweli i ka manawa o ka hoʻopuka ʻana, ma mua o ko lākou hiki ʻana i kahi kūkulu, ma mua o ka hoʻokomo ʻana o kahi ʻelele AI iā lākou iho, a ma mua o ka loaʻa ʻana o kahi ukana kaila SkillLeak i kahi manawa e hoʻokō ai. anthropic-toolkit hoʻopuka i 20 mau mana i hoʻokahi lā a i ʻole cursed-modules ke kahe nei ʻo npm me ka mana 999.x ma waena o ʻelua mau lā, ua lohi loa ka ʻike ʻana e holo ana ma hope o ka ʻoiaʻiʻo.
ʻO Xygeni Open Source Security hāʻawi ke kahua i nā hui DevSecOps i ka ʻike manawa maoli a me ka hoʻonohonoho mua ʻana e pono ai e noho ma mua o ke kaomi kaulahao lako i hoʻonohonoho ʻia, no laila kāu pipelineE noho maʻemaʻe me ka ʻole o ka hoʻolohi ʻana i kāu mau hui.




