这一警告来自Koi Security的Oren Yomtov，他在周一的博客中披露了在多个包管理器中发现的六个零日漏洞，这些漏洞可能允许黑客绕过去年11月Shai-Hulud攻击npm并破坏超过700个包后推荐的防护措施。

以色列研究员发现npm和yarn平台存在六个零日漏洞，攻击者可绕过去年11月Shai-Hulud蠕虫攻击后推荐的防御措施。这些名为PackageGate的漏洞能够绕过禁用生命周期脚本和锁文件完整性检查两项关键防护。目前pnpm、vlt和Bun平台已修复相关漏洞，但npm和yarn尚未处理。研究员建议JavaScript开发者转向已修复漏洞的平台，并保持包管理器及时更新。

此模式用于 MCP 客户端集成，通过标准输入/输出通信。 Acemcp-Node 对 WSL (Windows Subsystem for Linux) 提供完整的路径支持，无需手动 ...

后端使用nodejs中的koa2框架进行代码开发，使用Sequelize映射数据库模型； 智能快递柜文件夹里面是小程序文件 下载解压之后直接用小程序开发者工具打开文件夹，添加上自己的appid nodejs-koa2文件里面是后端代码 下载解压之后用vscode或者webstorm打开，然后在dos命令 ...

几小时后，20个由他维护的NPM包——包括被广泛使用的 color, strip-ansi, is-fullwidth-code-point 等——被静默替换成包含恶意代码的新版本。这些包每周合计下载量超过 28亿次，被集成于从企业后台到区块链钱包的无数项目中。

本项目早期代号为 PCode，现已正式更名为 HagiCode。本文记录了如何为项目引入自动化静态站点部署能力，让内容发布像喝水一样简单。 背景/引言 在 HagiCode 的开发过程中，我们遇到了一个很现实的问题：随着文档和提案越来越多，如何高效地管理和展示这些内容 ...

网络安全研究人员发现了两个恶意的Microsoft Visual Studio Code (VS Code) 扩展程序，这些扩展被宣传为人工智能驱动的编程助手，但实际上具有隐蔽功能，会将开发者数据窃取到位于中国的服务器。

这么多工具，根本尝试不过来，况且像 Clawdbot 这种需要自己部署服务器的 AI，着实很劝退想要尝试的电脑小白用户。Cowork 就更过分了，目前只开放给 200 美元/月的 Max 订阅用户。

微软近日分享了TypeScript 7（代号为Corsa项目）的最新进展，披露了对TypeScript编译器的一次根本性重构。该更新发布于2025年12月，详细介绍了团队将TypeScript编译器用Go语言重写的宏伟计划，他们承诺构建速度最高可提升 ...

IT之家1 月 8 日消息，科技媒体 bleepingcomputer 昨日（1 月 7 日）发布博文，报道称广泛使用的 JavaScript PDF 生成库 jsPDF 近期报告严重安全漏洞（CVE-2025-68428），CVSS 评分高达 9.2，官方已发布 4.0.0 版本修复此问题。 IT之家注：jsPDF 是一个强大的开源 JavaScript 库，每周 ...

两位后端大神前后脚站出来，双双给人类编程判了“死刑”—— 人类亲手写代码的时代已经落幕。 Node.js之父Ryan Dahl发帖引起四百万围观： 并非虚言，人类写代码的时代已经结束了。

在 AI 编程工具日新月异的今天，如何让 AI 更好地理解复杂的框架规范成了开发者的新挑战。AIba se 获悉，知名云开发平台Vercel正式发布了名为 Agent Skills 的开源项目。这不仅是一个简单的指令集，更像是一个专门为 AI 智能体设计的“技能包管理器”，旨在将行业最佳实践转化为 AI 能够直接调用的标准化技能。