科技前線
Kenji··2 分鐘閱讀
軟體供應鏈危機:TeamPCP 如何繞過開源防線?
駭客組織 TeamPCP 透過大規模偷取維護者帳戶與憑證,成功繞過 npm 等開源套件庫的來源驗證機制。此事件突顯了開源供應鏈中身分認證的脆弱性與相關法律責任的困境。
Kenji··2 分鐘閱讀#open-source
11 篇
科技前線Kenji··2 分鐘閱讀
NPM 生態系統遭大規模供應鏈攻擊,數百個惡意套件繞過審查
駭客組織 TeamPCP 透過竊取開源專案維護者帳號,成功發布 600 多個繞過 Sigstore 驗證的惡意 npm 套件,突顯開源軟體生態中數位簽名憑證的邏輯漏洞與供應鏈風險。
Kenji··2 分鐘閱讀
科技前線Kenji··2 分鐘閱讀
GitHub 遭大規模供應鏈攻擊,數千內部代碼庫外洩
駭客組織 TeamPCP 透過植入惡意 VS Code 擴充套件,對 GitHub 發動大規模供應鏈攻擊,造成約 3,800 個內部代碼庫遭竊。此次事件突顯了第三方開發工具對企業資安的重大威脅,GitHub 正與安全團隊共同調查,事件亦波及微軟 Python SDK。
Kenji··2 分鐘閱讀
科技前線
Jason··1 分鐘閱讀
DeepSeek-V4 發布:追求極致效率與長文本處理的開源模型新秀
DeepSeek 推出了其最新的旗艦 AI 模型 V4,主打長文本處理優勢與高成本效益,並持續堅持開源策略,試圖在全球 AI 模型競爭中建立高性價比的競爭優勢。
Jason··1 分鐘閱讀
科技前線Jason··2 分鐘閱讀
DeepSeek-V4 發布:挑戰 frontier 模型,以六分之一成本達成同級效能
DeepSeek 推出全新旗艦模型 V4,強調以極具競爭力的成本提供接近頂尖 AI 模型的效能,意圖挑戰閉源模型霸權。
Jason··2 分鐘閱讀
科技前線Kenji··2 分鐘閱讀
微軟封鎖開發者帳戶引發開源供應鏈危機
微軟因不明原因封鎖了 WireGuard 與 VeraCrypt 等關鍵開發者的帳戶,導致軟體更新中斷並可能造成 Windows 用戶的安全風險,嚴重打擊了開發者對微軟的信任。
Kenji··2 分鐘閱讀
科技前線Jason··1 分鐘閱讀
開源 AI 新里程:Zhupai AI 發布 GLM-5.1,性能超越 GPT-5.4
中國新創公司 Zhupai AI 發布 GLM-5.1 開源大型語言模型,採用 MIT 授權。官方數據顯示其性能在技術基準 SWE-Bench Pro 上超越 GPT-5.4 與 Opus 4.6,為開源生態注入新動力。
Jason··1 分鐘閱讀
科技前線Jason··2 分鐘閱讀
Nvidia 搶攻企業 AI 代理市場,GTC 2026 發布開放平台
Nvidia 在 GTC 2026 大會上推出開放原始碼的「代理工具套件」(Agent Toolkit),旨在協助企業開發並部署自主 AI 代理。該平台已獲得包括 Adobe、SAP 等 17 家科技巨頭採用,顯示 Nvidia 正積極搶佔 AI 代理時代的軟體與硬體基礎設施主導權。
Jason··2 分鐘閱讀
科技前線Jason··1 分鐘閱讀
Google 發布 Gemma 4,全面切換為 Apache 2.0 開源授權
Google 發布 Gemma 4 並採用 Apache 2.0 授權,此舉大幅降低企業採用法律風險,提升競爭力。
Jason··1 分鐘閱讀
科技前線Jason··2 分鐘閱讀
Google Gemma 4 改採 Apache 2.0 協議,大幅降低企業 AI 採用門檻
Google 發布 Gemma 4 並採用 Apache 2.0 開源協議,旨在解決過往模型許可條款限制帶來的合規痛點,提升企業在商業場景中的採用率。
Jason··2 分鐘閱讀
科技前線Jason··3 分鐘閱讀
Agentic AI 爆發:輝達與微軟接連發佈代理人平台,Andrej Karpathy 開源 AI 科學家腳本
2026 年初 AI 代理人技術進入爆發期。輝達計畫推出開源代理平台,微軟推出 Copilot Cowork 與企業級治理工具 Agent 365(月費 $99)。同時,AI 大師 Andrej Karpathy 開源了僅 630 行的 autoresearch 腳本,宣稱可自動化科學實驗。摩根士丹利預測 2030 年將有近 4,000 億美元的電商支出由 AI 代勞。然而,安全性問題如「數位雙面間諜」風險,也促使 OpenAI 收購 Promptfoo 以加強防禦。
Jason··3 分鐘閱讀