npm 生态再曝供应链攻击：热门库 axios 被波及

知名 AI 研究者 Andrej Karpathy 在 𝕏 发文警示新一轮 npm 供应链攻击，目标为目前最流行的 HTTP 客户端库 axios——其周下载量高达 3 亿次。他在本地系统扫描中发现，数日前因实验 Gmail/Google Calendar CLI 工具而安装的 googleworkspace/cli 包，意外引入了恶意依赖。

该恶意版本虽已被撤下（Karpathy 称‘幸运地’未造成实际影响），但事件再度暴露前端生态的脆弱性。他援引用户 @pmroadmap25 的评论指出：如今每次执行 npm install 或 pip install，都像在玩俄罗斯轮盘——而 LLM 自动化脚本更会无意识地高频触发这类风险。