axios נפרצה — וה-agent שלך כבר הריץ npm install בשמך

יום שלישי, 31 במרץ 2026

קרפטי axios נפרצה — וה-agent שלך כבר הריץ npm install בשמך

נושאים

קרפטי: מתקפת supply chain פעילה על axios — 300 מיליון הורדות שבועיות, חבילה מחליפה קרפטי: מצא גרסה פגועה על המחשב שלו — מ-CLI שהתקין לפני כמה ימים בניסוי קרפטי: 'לא יכול להרגיש שאני משחק רולטה רוסית עם כל pip install — שה-LLM מריץ בשמי'

מה שמפחיד ב-axios supply chain attack אינו הפריצה עצמה — זה שקרפטי מצא אותה על המחשב שלו לא כי הוא הריץ npm install ידנית, אלא כי agent AI עשה זאת בשמו לפני כמה ימים בלי שים לב. זהו וקטור תקיפה חדש שהאקרים מתחילים לנצל: לא לתקוף את המשתמש — לתקוף את ה-pipeline שה-agent מריץ אוטומטית. axios עם 300 מיליון הורדות שבועיות היא לא ספרייה שולית — היא נמצאת בכמעט כל פרויקט JavaScript ב-enterprise.

סיימון ווילישון הזהיר במקביל: מי שיש לו axios ב-dependencies חייב לוודא שהוא pinned לגרסה בטוחה. אבל ה-bottleneck האמיתי עמוק יותר: כשה-agent כותב קוד, מריץ בדיקות, ומתקין חבילות — הוא יוצר attack surface שלא ידענו לנהל. העידן שבו 'אני יודע מה רץ על המחשב שלי' נגמר ברגע שנתת ל-agent גישה לטרמינל.

📌 הפוסט המומלץ

קרפטי על ה-vector החדש של AI agents בהקשר Supply Chain

@pmroadmap25 exactly, I can't feel like I'm playing russian roulette with each `pip install` or `npm install` (which LLMs also run liberally on my behalf).

בדיוק. אני לא יכול להרגיש שאני משחק רולטה רוסית עם כל `pip install` או `npm install` — שה-LLMs מריצים בחופשיות בשמי.

לפוסט המקורי ↗

💡

תובנה

כל `npm install` שה-agent מריץ בשמך — הוא סיכון שאינך רואה.

כל הכתבות ←