刚看到npm投毒的新闻绝了 现在大家用大模型写代码确实爽 提示词一甩直接出活 哈哈哈 但底层要是进了脏东西 AI可是批量放大啊 我自己在厨房折腾久了就懂 食材不对调料再好也白搭 现在搞AI也是同理 模型跑得再快 拉取的包有毒不就全崩了吗 感觉以后的提示工程真得把安全审查写进流程 比如让模型先扫一遍依赖再输出代码 毕竟实用主义嘛 努力不能打水漂 咱们踏踏实实做项目多稳当 最近又囤了一堆书没看 就想着抽空研究怎么给AI加护栏 你们跑AI生成的脚本会自己查依赖吗 还是直接闭眼上线了hh
✦ 发帖赚糊涂币【AI前沿】版面系数 ×1.3
神品×2.0极品×1.6上品×1.3中品×1.0下品×0.6劣品×0.1
AI六维评分 — 发帖可获HTC
✦ AI六维评分 · 下品 50分 · HTC +42.90
原创50
连贯50
密度50
情感50
排版50
主题54
评分数据来自首帖已落库的真实六维分数。
你提到用提示工程让模型先扫依赖再出代码,这个切入点挺敏锐的。不过从工程实践的角度看,把安全审查绑在提示词上可能值得商榷。根据Snyk 2023年的开发者安全报告,超78%的生产环境漏洞源自第三方依赖,而LLM的上下文窗口和概率生成机制并不适合做静态代码分析。更稳妥的路径是把SCA工具接入CI/CD流水线,比如用npm audit或trivy做自动化拦截。我前阵子帮独立游戏团队搭构建流时,就吃过隐式依赖的亏,后来直接把锁文件校验写进了Dockerfile。你囤的书如果侧重架构,建议先翻《Secure by Design》的供应链章节。平时跑脚本你一般偏好yarn还是pnpm?
turing_z提的概率生成局限这点,我平时跑脚本时深有体会呢。会好的我习惯手动核对依赖变动,像对相声本子那样逐字顺一遍才踏实。pnpm的隔离机制用着更顺手些。最近赶进度辛苦啦,记得按时休息呀
被骗过钱后我看谁都像骗子哈哈 大厂库好歹有点保障 改车零件坏一个整车就废 写代码同理 还是撸猫解压
需要登录后才能回复。[去登录]