📰 AI 博客每日精选 — 2026-03-21

来自 Karpathy 推荐的 92 个顶级技术博客，AI 精选 Top 10

📝 今日看点

今天的主线之一是供应链与云原生攻击风险同步升级：从 LiteLLM“仅安装即触发”的投毒，到 TeamPCP 将窃密行动扩展为定向擦除，说明攻击者正把自动化传播、凭证收割与破坏行为打包成一体化链路。 第二条主线是攻防节奏加快且两极分化：一边是美加德联手拆解千万级 IoT 僵尸网络基础设施，另一边是 botnet 与云端蠕虫技术仍在快速变种，治理更像持续拉锯而非“一次性清场”。 第三条主线聚焦AI 工程落地的“能力上行、约束也上行”：从万亿参数 MoE 在消费级设备上的可运行突破、到用 Git/Skills 驱动代理协作与框架升级适配，实践在提速；但搜索标题改写争议与数据中心电力/建设瓶颈也提醒我们，产品可靠性与基础设施兑现能力仍是硬边界。

🏆 今日必读

🥇 LiteLLM 1.82.8 被投毒：恶意 litellm_init.pth 窃取凭证

Malicious litellm_init.pth in litellm 1.82.8 — credential stealer — simonwillison.net · 2026-03-24 · 🔒 安全

LiteLLM 发布到 PyPI 的 1.82.8 版本被植入了凭证窃取后门，恶意代码以 Base64 形式藏在 litellm_init.pth 文件中。由于 Python 的 .pth 文件可在安装环境加载时自动执行，这次攻击达到“仅安装即触发”，即使没有 import litellm 也可能中招。相比之下，1.82.7 虽也含恶意逻辑，但位于 proxy/proxy_server.py，需要导入后才会生效，危险性和隐蔽性都更低。该后门会搜集大量敏感文件与凭证，包括 SSH、云平台配置（AWS/Azure/Kubernetes）、开发工具配置和历史命令记录，影响范围非常广。PyPI 已隔离该包，暴露窗口仅数小时，但在此期间安装过相关版本的用户仍需按泄露事件处理并立即轮换密钥。

💡 为什么值得读: 这篇文章清楚揭示了攻击者如何利用 .pth 机制把供应链攻击从“运行时触发”升级为“安装时触发”，对 Python 生态有直接警示意义。

🏷️ PyPI, supply-chain, credential-stealer, LiteLLM

🥈 “CanisterWorm”对伊朗目标发起擦除攻击，关联 TeamPCP 云端蠕虫行动

‘CanisterWorm’ Springs Wiper Attack Targeting Iran — krebsonsecurity.com · 2026-03-23 · 🔒 安全

一个以牟利为主的数据窃取与勒索团伙 TeamPCP 被发现将其攻击升级为带有“定向破坏”特征的擦除行动。其蠕虫主要利用暴露的云控制面与常见配置缺陷传播，目标包括 Docker API、Kubernetes、Redis 以及 React2Shell，随后横向移动并窃取凭证。研究人员称，最新载荷会检测系统时区与语言环境，若命中伊朗时区或波斯语环境则执行数据擦除：有集群权限时清空 Kubernetes 节点，否则擦除本机。该组织还被指与近期 Trivy 供应链投毒共享基础设施，并通过被控 GitHub 账号与仓库操作放大恶意包可见度。由于恶意载荷周末短时上下线且频繁改动，实际破坏规模尚不明确，但其“云原生自动化攻击+供应链滥用”模式已显示出高风险。

💡 为什么值得读: 它把云配置风险、供应链投毒和地缘定向破坏串成一条完整攻击链，能帮助安全团队快速更新威胁模型。

🏷️ CanisterWorm, wiper malware, Iran, cloud security

🥉 如何把 Git 用在编程代理（coding agents）协作中

Using Git with coding agents — simonwillison.net · 2026-03-22 · ⚙️ 工程

Simon Willison 这篇指南强调，Git 是与编程代理协作时最关键的安全网与上下文载体：它不仅记录代码演进，还能让代理快速回溯、解释并修复错误。文章先梳理仓库、提交、分支、远程等基础概念，再给出一组可直接对代理下达的实用指令，例如“提交这些改动”“查看今天的变更”“把 main 最新改动整合进来”。作者特别强调让代理先读取近期提交，可在新会话中快速恢复项目语境，提高连续开发效率。对于复杂场景，文中展示了让代理处理合并冲突、找回丢失代码（含 reflog/stash）、以及用 git bisect 自动定位引入 bug 的提交。核心观点是：开发者不必死记命令细节，但要知道 Git 能做什么，再借助代理把高级能力常态化。

💡 为什么值得读: 它把“会 Git”升级为“会借助代理用好 Git”，能立刻改善多人协作、排错和代码可恢复性。

🏷️ Git, coding agents, agentic workflows, version control

📊 数据概览

分类分布

pie showData
    title "文章分类分布"
    "🔒 安全" : 4
    "🤖 AI / ML" : 3
    "⚙️ 工程" : 2
    "💡 观点 / 杂谈" : 1

高频关键词

xychart-beta horizontal
    title "高频关键词"
    x-axis ["pypi", "supply-chain", "credential-stealer", "litellm", "canisterworm", "wiper malware", "iran", "cloud security", "git", "coding agents", "agentic workflows", "version control"]
    y-axis "出现次数" 0 --> 3
    bar [1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1]

pypi               │ ████████████████████ 1
supply-chain       │ ████████████████████ 1
credential-stealer │ ████████████████████ 1
litellm            │ ████████████████████ 1
canisterworm       │ ████████████████████ 1
wiper malware      │ ████████████████████ 1
iran               │ ████████████████████ 1
cloud security     │ ████████████████████ 1
git                │ ████████████████████ 1
coding agents      │ ████████████████████ 1

🏷️ 话题标签

pypi(1) · supply-chain(1) · credential-stealer(1) · litellm(1) · canisterworm(1) · wiper malware(1) · iran(1) · cloud security(1) · git(1) · coding agents(1) · agentic workflows(1) · version control(1) · iot botnet(1) · ddos(1) · law enforcement(1) · cybercrime(1) · starlette(1) · fastapi(1) · python(1) · web-framework(1)

🔒 安全

1. LiteLLM 1.82.8 被投毒：恶意 litellm_init.pth 窃取凭证

Malicious litellm_init.pth in litellm 1.82.8 — credential stealer — simonwillison.net · 2026-03-24 · ⭐ 28/30

LiteLLM 发布到 PyPI 的 1.82.8 版本被植入了凭证窃取后门，恶意代码以 Base64 形式藏在 litellm_init.pth 文件中。由于 Python 的 .pth 文件可在安装环境加载时自动执行，这次攻击达到“仅安装即触发”，即使没有 import litellm 也可能中招。相比之下，1.82.7 虽也含恶意逻辑，但位于 proxy/proxy_server.py，需要导入后才会生效，危险性和隐蔽性都更低。该后门会搜集大量敏感文件与凭证，包括 SSH、云平台配置（AWS/Azure/Kubernetes）、开发工具配置和历史命令记录，影响范围非常广。PyPI 已隔离该包，暴露窗口仅数小时，但在此期间安装过相关版本的用户仍需按泄露事件处理并立即轮换密钥。

🏷️ PyPI, supply-chain, credential-stealer, LiteLLM

2. “CanisterWorm”对伊朗目标发起擦除攻击，关联 TeamPCP 云端蠕虫行动

‘CanisterWorm’ Springs Wiper Attack Targeting Iran — krebsonsecurity.com · 2026-03-23 · ⭐ 27/30

一个以牟利为主的数据窃取与勒索团伙 TeamPCP 被发现将其攻击升级为带有“定向破坏”特征的擦除行动。其蠕虫主要利用暴露的云控制面与常见配置缺陷传播，目标包括 Docker API、Kubernetes、Redis 以及 React2Shell，随后横向移动并窃取凭证。研究人员称，最新载荷会检测系统时区与语言环境，若命中伊朗时区或波斯语环境则执行数据擦除：有集群权限时清空 Kubernetes 节点，否则擦除本机。该组织还被指与近期 Trivy 供应链投毒共享基础设施，并通过被控 GitHub 账号与仓库操作放大恶意包可见度。由于恶意载荷周末短时上下线且频繁改动，实际破坏规模尚不明确，但其“云原生自动化攻击+供应链滥用”模式已显示出高风险。

🏷️ CanisterWorm, wiper malware, Iran, cloud security

3. 美加德联手打击四大 IoT 僵尸网络，遏制大规模 DDoS 攻击

Feds Disrupt IoT Botnets Behind Huge DDoS Attacks — krebsonsecurity.com · 22 小时前 · ⭐ 26/30

美国司法部联合加拿大和德国执法机构，查封了四个 IoT 僵尸网络（Aisuru、Kimwolf、JackSkid、Mossad）的关键域名与服务器基础设施。官方称这些网络共控制超过 300 万台设备（如路由器和摄像头），并发动了大量高强度 DDoS 攻击，部分受害者还遭到勒索。通报数据显示，Aisuru 下发攻击指令超 20 万次，JackSkid 约 9 万次，Kimwolf 超 2.5 万次，Mossad 约千次。案件由美国国防刑侦部门与 FBI 等协作推进，目标是阻断继续感染并削弱后续攻击能力。报道还指出，Kimwolf 等变种利用可感染内网设备的传播方式快速扩张，相关技术已被其他新 botnet 模仿，说明该威胁仍在演化。

🏷️ IoT botnet, DDoS, law enforcement, cybercrime

4. JavaScript 沙箱技术调研

JavaScript Sandboxing Research — simonwillison.net · 2026-03-23 · ⭐ 24/30

这篇调研聚焦“如何安全运行不受信任的 JavaScript 代码”，系统比较了当前可用的多条技术路线。内容覆盖 Node.js 原生方案，如 worker_threads、node:vm 和 Permission Model，也评估了常用 npm 方案 isolated-vm 与 vm2。除此之外，文章还纳入 quickjs-emscripten、QuickJS-NG、ShadowRealm、Deno Workers 等替代执行环境进行横向对比。作者最初受 Node.js worker threads 讨论启发，随后将问题扩展为更完整的方案盘点。整体上这是一份面向工程实践的选型研究，帮助开发者理解不同沙箱方案在隔离性、可用性与实现复杂度上的权衡。

🏷️ JavaScript, sandboxing, Node.js, worker-threads

🤖 AI / ML

5. 陶哲轩谈开普勒、牛顿与数学发现的真实机制

Terence Tao – Kepler, Newton, and the true nature of mathematical discovery — dwarkesh.com · 6 小时前 · ⭐ 25/30

这期访谈以开普勒发现行星运动定律的历史为切入点，讨论数学与科学发现并非总是“快速验证、快速收敛”的过程。陶哲轩指出，正确理论在早期可能预测效果更差，例如哥白尼的早期日心模型一度不如托勒密体系贴合观测。真正支撑理论存活的，往往是研究者的判断力、启发式与长期积累，而这些很难被直接形式化为简单的强化学习闭环。节目还延伸到 AI 在数学研究中的作用边界：AI 可能先让论文更广更快，但未必立即带来更深层理解。整体结论偏向“人机协作将长期主导”，而不是 AI 对数学家的短期完全替代。

🏷️ Terence Tao, mathematical discovery, AI in math, scientific reasoning

6. Streaming Experts：把万亿参数 MoE 跑在消费级设备上

Streaming experts — simonwillison.net · 2026-03-24 · ⭐ 24/30

文章介绍了“streaming experts”技巧：对 MoE 模型按 token 从 SSD 动态加载所需专家权重，从而在内存不足的机器上运行超大模型。作者给出一系列最新实测进展：此前可在 48GB RAM 跑 Qwen3.5-397B-A17B，如今有人在 96GB RAM 的 M2 Max 上运行 1 万亿参数的 Kimi K2.5（同一时刻激活约 32B 权重）。社区还演示了该 Qwen 模型在 iPhone 上可运行，速度约 0.6 tokens/s。后续更新显示，Kimi K2.5 也已在 128GB M4 Max 上达到约 1.7 tokens/s。作者判断这条路线潜力很大，且研究者正通过自动化调参循环持续挖掘性能优化空间。

🏷️ Mixture-of-Experts, model-serving, SSD-streaming, inference

7. Google 搜索开始用 AI 改写新闻标题

Google Search Is Now Using AI to Rewrite Headlines — daringfireball.net · 1 小时前 · ⭐ 24/30

The Verge 报道称，Google 正在一项“小范围”实验中，用 AI 生成的新标题替换搜索结果里的原始新闻标题，而且没有明确标注哪些标题被改写。编辑团队发现多个案例显示，改写后的标题会丢失原意，甚至让报道立场看起来被扭曲，例如把批判性标题缩成近似产品背书的短句。Google 表示此举目标是让标题与用户查询更匹配，并提升点击与参与度，且实验并不只针对新闻站点。公司同时确认实验使用了生成式 AI，但又称若正式上线未必继续采用生成式模型，相关说法存在一定模糊空间。文章认为这可能是更大范围变更的前兆，因为类似“实验”此前已在 Discover 中变成常态功能。

🏷️ Google Search, AI rewriting, headlines, news publishers

⚙️ 工程

8. 如何把 Git 用在编程代理（coding agents）协作中

Using Git with coding agents — simonwillison.net · 2026-03-22 · ⭐ 26/30

Simon Willison 这篇指南强调，Git 是与编程代理协作时最关键的安全网与上下文载体：它不仅记录代码演进，还能让代理快速回溯、解释并修复错误。文章先梳理仓库、提交、分支、远程等基础概念，再给出一组可直接对代理下达的实用指令，例如“提交这些改动”“查看今天的变更”“把 main 最新改动整合进来”。作者特别强调让代理先读取近期提交，可在新会话中快速恢复项目语境，提高连续开发效率。对于复杂场景，文中展示了让代理处理合并冲突、找回丢失代码（含 reflog/stash）、以及用 git bisect 自动定位引入 bug 的提交。核心观点是：开发者不必死记命令细节，但要知道 Git 能做什么，再借助代理把高级能力常态化。

🏷️ Git, coding agents, agentic workflows, version control

9. 用 Claude Skills 适配 Starlette 1.0：一次实战实验

Experimenting with Starlette 1.0 with Claude skills — simonwillison.net · 2026-03-23 · ⭐ 25/30

作者围绕 Starlette 1.0 发布做了一次实验，核心问题是：当框架升级并引入破坏性变更后，如何让 LLM 仍然生成可运行的新版本代码。文章先解释 Starlette 1.0 的意义及关键改动，尤其是启动/关闭机制从 on_startup/on_shutdown 转向基于 async context manager 的 lifespan。随后作者让 Claude 直接克隆 Starlette 仓库并生成对应的技能文档，再将该技能加入日常对话以“注入”最新框架知识。在新会话中，Claude 据此生成了一个包含项目、任务、评论、标签的任务管理应用，技术栈含 Starlette 1.0、aiosqlite 与 Jinja2。作者还展示了对数据库初始化与接口读写的自动化测试步骤，证明生成结果不仅完整，而且能够通过基本验证。

🏷️ Starlette, FastAPI, Python, web-framework

💡 观点 / 杂谈

10. AI 行业一直在对你撒谎

The AI Industry Is Lying To You — wheresyoured.at · 2026-03-25 · ⭐ 24/30

文章认为，AI 产业叙事建立在“规模会自然兑现”的信念上，但现实受制于电力、建设周期和融资能力等硬约束。作者引用 Wood Mackenzie 数据称，2025 年第四季度美国新增数据中心“管线”规模较前一季度腰斩，且已披露的 241GW 容量中只有约 33% 处于实际开发或建设阶段。更关键的是，大量项目的供电并未落实：约 58% 属于仅负责接入电网的“wires-only”模式，运营方仍需自行解决发电来源，而 PJM 区域还出现负荷承诺远超可用新增发电的情况。文中据此质疑市场上关于 AI 基础设施将快速落地的乐观预期，指出许多项目仍停留在许可、拿地或投机规划层面。作者进一步对比 GPU 出货、电力需求与实际投运能力，认为短期内真正上线并产生收入的数据中心容量远低于宣传口径。

🏷️ AI industry, hype, business models, critical analysis

生成于 2026-03-21 07:00 | 扫描 88 源 → 获取 2517 篇 → 精选 10 篇 基于 Hacker News Popularity Contest 2025 RSS 源列表