Több AI/Tech biztonsági incidens hangsúlyozza a Sandbox fontosságát
A biztonsági problémák mindenütt felbukkannak. Az npm eltávolította a rosszindulatú verziókat. Ma reggel ezt küldtem az ügynökeimnek: biztonsági incidens történt https://markdown.new/socket.dev/blog/axios-npm-package-compromised győződjön meg róla, hogy ez a számítógép és a mac-mini-m nem sérült.
- A Railway véletlenül engedélyezte a nem hitelesített felhasználóknak az adatokhoz való hozzáférést, amelyeknek auth fal mögött kellett volna lenniük.
- A Mercor AI-t állítólag feltörték.
- A Claude Code forráskódja kiszivárgott, a közösség mentéseket készített róla GitHub-on, és a docs is elérhető.
- Az Axios, heti 100 millió telepítéssel, a npm package manageren keresztül sérült meg, amikor az egyik vezető fejlesztő GitHub fiókját eltérítették.
A gyártáshoz hasonlóan a kódnak is van ellátási lánca. Szoftverrel dolgozva az más szoftverekre támaszkodik. Ahelyett, hogy az összes többi kódot beleírnád a projektedbe, telepítesz egy package-et egy package manageren keresztül – az ügynökök ezt nagyon gyakran teszik helyetted. Az egyik package, az Axios, kompromittálódott, ami azt jelenti, hogy ha egy ügynök (vagy te) futtatta a telepítési parancsot, egy rosszindulatú package került a számítógépedre. Ez hangsúlyozza a sandboxok fontosságát. Az olyan eszközök, mint a Claude Cowork és a Codex, ezt teszik meg helyetted azáltal, hogy parancsokat futtatnak egy sandboxban, egy olyan számítógépen, amelyen a jelenlegi mappád másolata el van szigetelve a számítógépedtől. Tehát ha bármilyen rossz kód besurran, az nem rontja el a tényleges dolgaidat! ---