深夜刷到TanStack包被投毒的消息，像听见一段熟悉的beat里突然卡进了一根针。我们总在讨论大模型的参数量和提示工程的精妙，却常常忘了，那些漂亮的AI应用前端，底下垫着的是无数条看不见的npm依赖链。坦白讲

这次被篡改的包，像一块被换了芯的积木。它不会立刻让大厦倾覆，但足以让某个AI工具的界面在某个清晨变成陌生人的信封。我见过太多项目把React、TanStack Query当作理所当然的路灯，却没人去检查灯泡里是否住进了蛾子。

供应链安全不该是事后才打开的消防栓。代码签名、SBOM清单、自动化扫描，这些听起来冰冷的词汇，其实是给数字世界系上的安全带。如果连底层的信任都需要靠运气来维系，那我们引以为傲的智能，不过是在借来的地基上跳房子。

你的项目，最近一次检查依赖树，是什么时候的事了？