但是也有人质疑卡帕西的“利用LLM提取功能”的这一措施，表示“只是把一个未经审查的代码库换成了一个LLM输出的而已”。这个就比较见仁见智了，使用LLM过滤一遍对提高代码安全性是否存在帮助依然非常依赖提示词。

SSH密钥、AWS和谷歌云的凭据、数据库密码、加密货币钱包，连.env文件都不放过。基本上你电脑里值钱的东西，它都扫荡一遍。 更狠的是，它还会在K8s集群里横向扩散，每个节点都被装后门。但凡你的项目跑在云原生环境里，后果不堪设想。

整理 | 郑丽媛出品 | CSDN（ID：CSDNnews）如果你是一名 Python 开发者，对 pip install 命令肯定很熟悉——这是最常用的套件安装指令，可用来从 PyPI 或其它来源安装、升级与管理套件。但就在 3 月 24 ...

最新上传的LiteLLM Python 版本1.82.7和1.82.8，已被人为恶意植入信息窃取程序。 一旦安装，SSH密钥、AWS凭证和API密钥等数据均会立即泄漏。 目前LiteLLM的维护者Krrish Dholakia，已经公开证实此事。 在恶意版本存在三小时后，PyPI迅速发现了这一漏洞，并将软件包隔离。但LiteLLM每天下载量约为340万次，许多自动安装新版本的程序员已经遭殃。 社区 ...

编程模型领域迎来重大突破！Cursor公司推出的全新编程模型Composer 2，不仅在性能上超越了Claude Opus 4.6，更以极具竞争力的价格引发行业震动。在全球大模型成本普遍上涨的背景下，Cursor的定价策略堪称"颠覆性"，其输入价格仅为0.5美元/百万tokens，输出价格为2.5美元/百万tokens，较竞争对手实现了数量级的下降。 这款专为编程场景打造的模型，在Terminal ...

又一款工具，要在代码开发上挑战微软。 AI 到底会先取代什么职业，这可能是让所有人都心有戚戚的问题。相对来说，程序员们可能相对还安全一些，因为大模型要持续进步，还是需要码农们继续添砖加瓦的。 当然，程序员们获得了来自 AI 的奖励——AI 编程助手，从微软的 Copilot 到 ChatGPT，AI 助手实实在在能帮助程序员提效，自然也就成了一个热门的 AI 赛道。 现在，一家初创公司 Anysp ...

GitHub 上四万颗星，日均下载 340 万次，几乎是 AI 开发者电脑里都会出现的基础设施。 LiteLLM，昨晚被黑了。 只要你用过它，或者用了任何一个间接依赖它的工具，你电脑上的东西就会被打包带走：远程连接的私钥、AWS/GCP/Azure ...

这是一件极其严肃的软件安全事件。 今天，Karpathy 发长推文警告全部开发者注意，GitHub 超过 4 万星，月下载量达 9700 万次的 Python 库 LiteLLM 在 PyPI 上被投毒。 首先提请各位开发者检查自己的 LiteLLM ...

在人工智能与软件开发深度融合的当下，一场围绕底层工具的争夺战正愈演愈烈。OpenAI近日宣布收购专注于Python生态优化的明星初创企业Astral，此举被业界视为AI编程领域从"代码生成"向"系统接管"的关键转折。收购完成后，Astral核心团队将整体并入OpenAI的Codex研发部门，双方技术整合已进入实质阶段。

AI 开发者圈内炸开了锅， 著名 AI 科学家 Andrej Karpathy 亲自发帖“预警”，揭露了一场针对 AI 供应链的精准投毒攻击。受害者正是 GitHub 超过4万星、每月下载量接近1亿次的 Python 库—— litellm 。由于该库是调用各大模型 API 的“ 万能 钥匙”，此次事件的影响力正如同多米诺骨牌般向整个 AI 工具链扩散。

3月19日，OpenAI悄然出手，将Python工具开发商Astral收入囊中。这笔看似“小众”的收购，实则在AI编程领域投下了一颗重磅炸弹。 Astral以其高性能的Python开发工具uv、Ruff和ty，在开发者社区中声名鹊起。OpenAI此举，绝非简单的技术补强，更是一场从“生成代码”迈向“掌控工程”，乃至争夺AI开发者生态底层话语权的深谋远虑。 而对于Astral来说，未来也充满不确定性 ...