AI HOT 小时报｜2026-05-25 00:44

数据源：AI HOT /api/public/items?mode=selected；时间窗 since=2026-05-24T15:34:42Z。摘要由 AI HOT 提供，引用前请点原文核对。

本小时值得看

1. TrapDoor供应链攻击：AI助手成新型攻击面

• 分类：行业
• 来源：X：Kim (@kimmonismus)
• 发布时间：2026-05-24T16:24:31.000Z
• 原文：https://x.com/kimmonismus/status/2058584943052161488

一场名为"TrapDoor"的协调供应链攻击同时袭击了npm、PyPI和Crates.io，涉及34个恶意包，旨在窃取加密货币、AI和安全开发者的钱包、SSH密钥和云凭证。攻击的新手段是向流行开源项目提交Pull Request，注入被操纵的CLAUDE.md和.cursorrules配置文件。当开发者克隆仓库并使用Claude Code或Cursor等AI助手时，AI智能体会将这些文件当作可信指令执行，可能在开发者不知情下运行恶意命令。这是首次将AI助手作为攻击面。

UseClaw 观察

• 优先关注能进入真实工作流的产品更新，而不只看模型跑分。
• 优先关注 Agent、编程工具、企业集成、自动化、合规安全这些会影响数字员工落地的信号。
• 如果某条新闻能说明“谁痛、为什么信、下一步去哪”，后续可扩写成 UseClaw 深度内容。

UseClaw 持续记录 Claude、Codex、OpenClaw、AI Agent 与数字员工的真实案例、方法和产品化实践。
了解更多：https://useclaw.net/