慢雾创始人余弦于3月31日发布安全提醒： 核心风险：使用最新版本 OpenClaw 3.28 的用户，可能会引入被植入恶意代码的 axios 依赖包。 影响范围：不仅限于OpenClaw本身，相关

供应链安全公司Socket披露，广泛使用的JavaScript HTTP请求库axios遭遇供应链攻击。 事件概述 两个新发布的版本（v1.14.1 和 v0.30.4）被发现包含恶意依赖。 这两个

安全研究者曝光了吴恩达旗下AI编程文档服务Context Hub的供应链攻击风险。该服务通过MCP服务器向编程Agent提供API文档，但贡献者提交文档的整个流程缺乏内容审核。 概念验证攻击详情 替代

事件概述 OpenAI创始成员Andrej Karpathy将AI工具LiteLLM遭遇的供应链攻击称为“现代软件中基本上最恐怖的事”。LiteLLM月下载量达9700万次，其v1.82.7和v1.8

据慢雾科技CISO披露，Python AI网关库LiteLLM遭遇PyPI供应链攻击。该库月下载量高达9700万次。 攻击者可通过pip install litellm指令在用户设备上窃取敏感信息，包

引言：当AI Agent成为你的交易员 人工智能代理正以前所未有的速度渗透至Web3与加密交易领域。从最初的信息助手，演变为如今能够自主分析行情、生成策略并执行交易的自动化系统，AI Agent正在重

3月17日，据“网络侦查研究院”公众号披露，中国一黑客团队因分赃纠纷发生内讧，成员公开爆料称曾通过供应链攻击盗取约700万美元加密资产，目标涉及Trust Wallet等加密钱包平台。 团队背景与作案

GoPlus安全团队近日发出警告，发现朝鲜黑客组织“Famous Chollima”向npm官方仓库上传了26个恶意软件包。 这些恶意包均包含一个自动执行的安装脚本（install.js），该脚本会运

安全监测 2月9日，慢雾（SlowMist）发布安全警告。近期走红的开源AI代理项目OpenClaw，其官方插件中心ClawHub正成为供应链投毒攻击的新目标，已识别出341个恶意技能。 攻击手法 这

在遭遇高度协调的供应链攻击并中断数周后，Trust Wallet已将其Chrome浏览器扩展程序恢复上线。此举标志着该钱包从今年最具破坏性的安全漏洞之一中迈出了关键恢复步骤。 新版扩展不仅旨在恢复正

ZEROBASE CEO Mirror Tang 在X平台宣布，针对12月12日的供应链篡改钓鱼事件，公司已完成对所有核实受影响用户的处置工作。 用户资产处置：相关资产已通过全额援助或债权收购方式处

事件概述 2025年12月24日至26日，Trust Wallet浏览器扩展（v2.68版本）因API密钥泄露，被上传恶意代码。事件共影响2520个在此期间登录的钱包地址，造成约850万美元资产被盗。