密码管理器 Bitwarden 本体没有问题,命令行工具 @bitwarden/cli@2026.4.0 版本中招。如果你和你的 AI 不曾使用 CLI,就可以不管它。@Appinn发生了什么?来自 socket.dev 的消息:攻击者入侵了 Bitwarden 的发布流程(CI/CD),把一个“被改过的 CLI 版本(@bitwarden/cli@2026.4.0)”发到 npm,这个版本里加了一段恶意代码,可以在安装时自动执行。此图由 AI 制作会泄漏什么?这个恶意代码还比较严重,他会在你的电脑里搜索:各种 token(GitHub / npm)SSH 私钥.env 文件云服务凭证(AWS / GCP 等)shell 历史记录AI 工具配置(Claude / Cursor 等)然后,将这些信息用 AES-256 加密、压缩,发出去。密码安全吗?Bitwarden 官方确认没有访问到用户的 Vault 密码库,也没入侵 Bitwarden 的后端服务。原文:https://www.appinn.com/bitwarden-cli-npm-supply-chain-attack-2026/相关阅读Bitwarden Send – 开源密码管理器 Bitwarden 发布可阅后即焚的「安全分享密码」功能NodeWarden – 把 Bitwarden 搬上 Cloudflare Workers,彻底告别服务器axios 又出事了:npm 两个版本被供应链投毒Squoosh-CLI – 批量图片压缩、批量图片格式转换、批量图片剪裁Chain Breaker – 开辟道路,解救魔法奶牛[iPad/iPhone]©2021 青小蛙 for 小众软件 | 加入我们 | 投稿 | 订阅指南 3659b075e72a5b7b1b87ea74aa7932ff 点击这里留言、和原作者一起评论[ 点击前往获取链接 ]