YOMOO

每日AI快送

2026-04-01
收听音频版
下载 MP3

每日简报 | 2026年4月1日

执行摘要

JavaScript生态遭遇史上最严重供应链攻击——每周下载量超1亿次的Axios库被植入恶意代码,攻击者利用泄露的npm令牌注入远程访问木马,这是继LiteLLM之后又一次重大供应链攻击,且攻击链条正在加速蔓延。与此同时,Ed Zitron发表万字长文宣告"次贷级AI危机"已经到来,详细论证AI产业每一个环节都建立在不可持续的补贴经济之上。

主要报道

Axios遭供应链投毒:JavaScript生态的"五级火警"

此前我们持续追踪的供应链安全问题再次升级,且这一次的规模前所未有。

3月31日,拥有每周1.01亿次下载量的HTTP客户端库Axios被攻击者劫持。攻击者利用一个泄露的长期有效npm令牌(long-lived token),向1.14.1和0.30.4两个版本中注入了名为plain-crypto-js的恶意依赖包。该包实质上是一个凭证窃取木马,同时会安装远程访问后门(RAT,Remote Access Trojan——一种允许攻击者远程控制受害机器的恶意程序)。

攻击手法极其精密:攻击者先发布了一个"干净"版本的plain-crypto-js,18小时后才推送含有恶意载荷的第二个版本,随后将其作为依赖注入被劫持的Axios发布版本。这意味着任何执行npm install的CI/CD流水线或应用都会在安装时自动触发恶意代码。

安全博主Andrew Nesbitt直言:"npm的默认设置很糟糕,而且已经糟糕了很长时间。" 他指出了npm客户端的几个核心缺陷:

  • npm install默认会重写锁文件,而更安全的npm ci却鲜为人知
  • 生命周期脚本(postinstall)默认对所有依赖包开放执行权限
  • 可信发布(trusted publishing)可以被拥有账户权限的攻击者随时关闭
  • npx完全没有安全网,不使用锁文件,直接拉取并执行最新版本

独立分析师Martin Alderson将这一系列攻击(Trivy → Telnyx → LiteLLM → Axios)串联起来,指出一个令人不寒而栗的趋势:攻击者正在利用前一次攻击窃取的凭证来感染供应链中的下一个包,形成恶性循环。 他还强烈怀疑LLM正在充当攻击的"加速器"——使发现漏洞和构建复杂攻击变得前所未有的容易。

为什么重要: 这不是一次孤立事件。从3月中旬的Trivy到LiteLLM再到Axios,攻击目标的规模在短短两周内呈指数级增长。pnpm和Bun已经默认禁用postinstall脚本,但npm——作为随Node.js一起分发的默认客户端——仍然对数百万项目保持着危险的默认配置。修复npm的默认设置,比任何扫描器或事后复盘都更能改善JavaScript的供应链安全。

"次贷级AI危机"正式到来

此前我们多次报道的AI经济泡沫叙事,如今有了迄今最系统的论证。

Ed Zitron发表了一篇超过一万字的深度分析,将AI产业的当前处境类比为2008年次贷危机。核心论点:整个AI产业链——从GPU供应商到数据中心、从AI实验室到AI初创企业、再到终端消费者——每一个环节都在以不可持续的补贴价格运营,而用户已经被训练成无法接受真实定价。

具体证据:Anthropic的Claude用户在$100/月的Max计划上,四个提示就烧掉了$10.26的token;有用户在$200/月的计划上一天就用完了63%的额度。Anthropic在3月26日引入"高峰时段"限制后,用户怒火一片。一位用户写道:"花$200期待的是高级体验,得到的却是持续的限额焦虑。"

Zitron的核心洞察是:这些AI公司面临一个无解的困境——提价会赶走用户,维持补贴则永远无法盈利。他列出了若干"末日信号":包括Blue Owl退出为Oracle/OpenAI融资的Michigan数据中心交易,以及全球200GW已宣布的数据中心项目中仅5GW实际在建。

快讯

  • 后量子加密的Y2K时刻: 密码学家John Cook指出,向后量子加密的迁移如同Y2K——可能什么事都不会发生,但前提是我们花半万亿美元做好准备。后量子签名和密钥比现有的大一到两个数量级,这一工程挑战不容小觑。

  • MVC架构的根本性错误: Entropic Thoughts发文指出,MVC按技术边界而非业务领域划分模块,导致添加任何功能都需要修改所有层级。David Parnas早在1970年代就提出了更好的方案——按业务概念分层的"洋葱架构"。

  • AI代码质量的经济学论证: Soohoon Choi提出,AI模型最终会写出好代码,不是因为我们希望如此,而是因为经济激励要求如此——好代码生成和维护成本更低,市场不会长期奖励劣质代码。

  • "世界首创"的营销泡沫: JA Westenberg犀利指出,AI初创公司纷纷宣称"世界首创"不过是算法的作弊码——无法在滑动浏览时验证,却能收割最多转发。Google不是第一个搜索引擎,iPhone不是第一款智能手机,Levi Strauss 1853年才到旧金山——"世界最好"永远比"世界第一"有价值。

  • Apple 50周年: Tedium对苹果"被遗忘的第三位创始人"Ronald Wayne的深度访谈揭示了一位多才多艺的博学者——他不只是放弃10%股份的那个人,还是电子老虎机的先驱、邮票收藏家和金本位倡导者。

值得关注

  • 供应链攻击的蔓延速度正在加快: 从Trivy到Axios仅隔两周,且每次攻击的影响范围呈数量级增长。Martin Alderson呼吁操作系统层面的根本性变革——像iOS和Android那样限制应用权限,让npm install只能写入特定文件夹。
  • Anthropic和OpenAI的速率限制博弈正在演变为零和游戏: OpenAI在Anthropic限制收紧的当天就重置了Codex的限制。这种"你限我放"的动态表明,两家公司都在用不可持续的补贴争夺同一批价格敏感用户。
  • 美元霸权的数字贸易支柱出现裂痕: 巴西在WTO阻止了数字出口免税的10年续期,仅同意2年。同时,巴西与66个非美国国家签订了"小多边"数字免税协议——Cory Doctorow称之为"美国世纪的终结方式:不是一声巨响,而是一个Trump。"
PODCAST SCRIPT

大家好,欢迎来到2026年4月1日的YOMOO每日AI快送。

我跟你说,今天这条消息,可能是整个JavaScript开发圈近年来最恐怖的一次安全事件。Axios,对,就是那个你几乎每个项目都在用的HTTP客户端库,每周下载量超过一个亿的那个Axios,被人投毒了。

事情是这样的。3月31日,有攻击者拿到了一个泄露的npm长期令牌,然后劫持了Axios的两个版本,1.14.1和0.30.4。他们往里面塞了一个叫plain-crypto-js的恶意依赖包。这个包干什么呢?偷你的凭证,顺便给你装一个远程访问木马,也就是说攻击者可以远程控制你的机器。

你想想看,这个手法有多阴。攻击者先发布了一个干干净净的plain-crypto-js版本,等了整整18个小时,确认没人起疑了,才推送第二个版本,把恶意代码塞进去,然后注入到被劫持的Axios里。这意味着什么?任何跑npm install的CI/CD流水线,自动就中招了。你的构建服务器、你的开发环境、你的生产部署,全都可能在不知不觉中被攻破。

安全博主Andrew Nesbitt说了一句很重的话,他说npm的默认设置很糟糕,而且已经糟糕了很长时间。你看他列出来的问题,npm install默认会重写锁文件,更安全的npm ci反而没几个人知道。postinstall脚本默认对所有包开放执行权限,也就是说任何一个包安装的时候都可以在你机器上跑任意代码。npx就更离谱了,完全没有安全网,不用锁文件,直接拉最新版本就执行。

但最让人不寒而栗的是什么呢?独立分析师Martin Alderson把最近的攻击事件串起来看了一遍,Trivy、Telnyx、LiteLLM、再到Axios,他发现攻击者在用前一次攻击偷到的凭证去感染下一个包。这是一个恶性循环,而且每一轮攻击的规模都在成倍放大。从Trivy到Axios,才两周时间,影响范围已经是数量级的增长。他还怀疑LLM正在充当攻击的加速器,让发现漏洞和构建复杂攻击变得前所未有的容易。

pnpm和Bun已经默认禁用了postinstall脚本,但npm作为随Node.js一起分发的默认客户端,依然对数百万项目保持着危险的默认配置。Martin Alderson呼吁操作系统层面的根本性变革,像iOS和Android限制App权限一样,让npm install只能写入特定文件夹。说实话,修复npm的默认设置,比任何安全扫描器或者事后复盘都来得更有效。

好,咱们说回另一个重磅话题。

Ed Zitron发了一篇超过一万字的深度长文,标题很惊悚,叫"次贷级AI危机"。你没听错,他把现在的AI产业直接类比成了2008年的次贷危机。

他的核心论点是什么呢?整个AI产业链,从GPU供应商到数据中心,从AI实验室到AI创业公司,再到终端消费者,每一个环节都在用补贴价格运营,而用户已经被训练成完全无法接受真实定价。

他举了很具体的例子。Anthropic的Claude用户,花100美元一个月订了Max计划,结果四个提示就烧掉了10.26美元的token。还有用户花200美元一个月,一天就用掉了63%的额度。Anthropic在3月26号引入了高峰时段限制之后,用户炸锅了。有人写道,花200美元期待的是高级体验,得到的却是持续的限额焦虑。

Zitron说这些AI公司面临一个无解的困境,提价吧,用户跑了,维持补贴吧,永远盈利不了。他还列了几个末日信号,比如Blue Owl退出了为Oracle和OpenAI融资的密歇根数据中心项目,全球已经宣布的200GW数据中心项目里,实际在建的只有5GW。200比5,你品品这个数字。

其实你看,OpenAI和Anthropic之间的速率限制博弈就很说明问题。Anthropic这边一收紧限制,OpenAI当天就重置了Codex的额度。这种你限我放的动态,本质上两家公司都在用不可持续的补贴争夺同一批价格敏感的用户。这游戏怎么收场,目前没人知道。

接下来几条快讯也值得关注。

密码学家John Cook发了一个很有意思的观点,他说向后量子加密的迁移就像Y2K千年虫问题。最后可能什么事都不会发生,但前提是我们得花大概半万亿美元做好准备。后量子签名和密钥比现有的大一到两个数量级,这个工程挑战不是说说就能解决的。

还有一篇文章讲MVC架构的根本性错误,说MVC按技术边界而不是业务领域来划分模块,导致加任何功能都要改所有层。其实David Parnas在1970年代就提出了更好的方案,按业务概念分层的洋葱架构。这个观点不新,但值得反复强调。

AI代码质量这边也有个有趣的经济学论证。Soohoon Choi说,AI最终会写出好代码,不是因为我们希望如此,而是因为经济激励要求如此。好代码生成和维护成本更低,市场不会长期奖励劣质代码。这个逻辑很朴素,但我觉得很有道理。

最后说一个轻松点的。Apple刚过了50周年,有一篇深度访谈聊了苹果被遗忘的第三位创始人Ronald Wayne。大家都知道他放弃了10%的苹果股份,但很少有人知道他还是电子老虎机的先驱、邮票收藏家和金本位倡导者,是一位非常有意思的博学者。

对了,还有一个值得关注的国际动态。巴西在WTO阻止了数字出口免税的十年续期,只同意续两年,同时跟66个非美国国家签了小多边数字免税协议。Cory Doctorow有句评论特别精辟,他说美国世纪的终结方式,不是一声巨响,而是一个Trump。

所以你看,今天的信息量很大,但核心就两件事。一个是JavaScript的供应链安全正在经历一场系统性危机,攻击的速度和规模都在加速,npm的默认安全机制亟需改革。另一个是AI产业的补贴经济模式正在被越来越多人质疑,从用户体验到基础设施投资,泡沫的迹象越来越明显。这两件事看起来不相关,但本质上都指向同一个问题,我们在技术基础设施上欠下的债,迟早要还。

如果你想通过阅读文字版更快地获取每日的AI快送信息,欢迎免费订阅我们的mail list,地址在视频描述里。如果您觉得我们的节目对您有帮助,请帮忙分享、转发给您的朋友。好了,今天就到这里,我们明天见!