supply-chain - 標籤

Karpathy 的軟體噩夢：一個 pip install 就能偷走你所有的 key

CP-209 2026-03-25 · @karpathy on X

LiteLLM 遭供應鏈攻擊，pip install 就能偷走所有憑證。Karpathy 藉此警告依賴樹風險，主張用 LLM 直接補功能取代多裝依賴。

從魔法到惡意軟體：OpenClaw 的 Agent Skills 如何變成攻擊面

SP-51 2026-02-12 · 1Password Blog

1Password 安全團隊在 ClawHub 上發現下載量最高的 Twitter skill 其實是惡意軟體投遞工具。更可怕的是，這不是個案 — 數百個 skill 都涉入同一波攻擊活動。當 markdown 變成 installer，skill registry 就成了新的 supply chain 攻擊面。

security openclaw malware agent-skills