18:09Decoder@Matthias Bastian精选Mozilla 0DIN平台的安全研究人员发现,一个被攻陷的GitHub仓库能通过DNS查询在运行时加载恶意代码,而Claude Code在运行setup时不会验证。该恶意代码在仓库文件、扫描器和AI代理眼中均不可见,仅在运行期间通过远程服务器返回载荷。攻击者利用此漏洞可完全控制开发者机器,包括窃取密钥、修改代码等。该攻击利用了AI编码工具默认信任仓库脚本的安全缺口。行业Claude CodeMozilla0DINAI安全供应链攻击推荐理由:研究人员发现Claude Code跑仓库脚本时不检查里面藏了啥,一个DNS查询就能把恶意代码偷偷装你机器上。这漏洞太要命了,用AI写代码的赶紧看看怎么防。原文
08:25Simon Willison’s Weblog(博客/媒体)精选Simon Willison 受 Mozilla 的 MDN MCP 服务启发,将 mdn/browser-compat-data 仓库中的浏览器兼容性数据转换为约 66MB 的 SQLite 数据库。他使用 Claude Code for Web (Opus 4.8) 生成了转换脚本,并用 Codex Desktop (GPT-5.5) 构建了一个 GitHub Actions 工作流,将数据库推送到独立的 db 分支。该数据库托管在 GitHub 上并设置了 CORS 头,用户可通过 Datasette Lite 在线浏览和查询。技巧MozillaMDNClaude CodeGPT-5.5GitHub Actions2 个信源在谈推荐理由:Simon 用 Claude 和 GPT 帮你把 MDN 浏览器数据转成了 SQLite,能直接用 Datasette Lite 在线查,超方便。原文
AITOP5月29日 08:02Opus 4.8发布:编程助手的“静默时刻”,是解放开发者,还是新门槛?🔥Anthropic 把 AI 编程的“确认键”彻底删掉了!Claude Code 搭载全新 Opus 4.8 模型,长时间任务不跑偏、不废话、不中断,像一个资深工程师一样默默干活,从功能开发到漏洞清扫全包圆,你在旁边喝茶等结果就行。过去 AI 写代码三步一问“这样可以吗”,现在它直接交完整交付物……自主编程的最后一层窗户纸,被捅破了。做自动化开发和代码审查的团队,这个模型建议直接上手,效率差距肉眼可见……