用 socket.dev 给 npm install 包一层安全防御

最近 npm 相关的投毒实在是太多了……

npm install -g socket
socket wrapper on

具体原理：

https://socket.dev/blog/introducing-safe-npm

socket

npm

安全

15 replies • 2026-05-12 13:58:40 +08:00

zhaoolee

8h 2m ago

没想到，AI 大炼钢受害者是 npm

lisxour

7h 47m ago

那要是给 npm 上面的 socket 包投了毒呢，socket 是保护 npm 的，同时又使用 npm 下载，这个莫名戳中笑点

nanqic

7h 45m ago

@lisxour 再给 socket 包一层安全防御

MIUIOS

7h 19m ago

@nanqic 俄罗斯套娃

MIUIOS

7h 18m ago

屎山裹小脚的即视感

diudiuu

7h 17m ago

@lisxour 用这个库，在加个 3 天之内的包不安装就差不多了，如果还中毒估计就不是小问题了
npm install -g @aikidosec/safe-chain
safe-chain setup

jaff

7h 16m ago

最好的办法就是不要再 node 一把刷了，有了 AI ，该 IOS 就 swift ，Android 就 Java ，AI 就 Python 。

BeiChuanAlex

7h 10m ago

@jaff #7 确实，跨平台技术一堆坑

savingrun

6h 54m ago

现在 ai 时代代码产出太多太快了，看都看不过来了。

GPLer

6h 9m ago

@jaff 有了 AI 最好的办法不应该全部 node 手搓吗，要啥功能直接搓 😆

nanqic

6h 5m ago

@jaff node 的包管理确实风险较大

AV1

5h 16m ago

@jaff
有 AI 了更不应该用你说的那些了，直接用 C++，性能更好🐶

Ayanokouji

3h 37m ago

@jaff web 端咋办

jaff

2h 53m ago

@Ayanokouji web 还是留给 Node ，至少会降低损失。

注意上面，我说的是：不要 node 一把刷， [做正确的事选择正确的工具] ，而不是一把刷，比如上面有提到 C++的，又或者是手搓 node 代码的，不要从一个极端走向另一个。

总结：做正确的事选择正确的工具。

sleepm

2h 48m ago

https://aube.en.dev/security.html
最近看到的一个包管理