Daily Read · 2026-03-06

5 articles · 7.2/10 avg · 3 highlights (≥7.5)

1. 只用一行标题，他就骗AI发布了恶意软件 · 8.8/10 · simonwillison

攻击者通过构造恶意GitHub Issue标题注入Prompt，诱导AI执行命令，利用GitHub Actions缓存投毒机制窃取发布密钥，最终成功发布恶意版本。

揭示了AI自动化工作流中的新型供应链攻击面，对使用AI Agent的开发者具有重要警示意义。

2. AI代码直接提交？这是团队最大的隐形杀手 · 8.6/10 · simonwillison

AI编程时代的第一条铁律：绝不要把未经审查的AI生成代码丢给同事Review。Simon Willison详述Agentic Engineering中最危险的反模式。

直指AI编程最易被忽视的团队协作陷阱，提供了可立即落地的代码审查责任清单。

3. AI几小时重写代码，就能规避开源协议？原作者怒揭真相 · 8.5/10 · simonwillison

chardet库维护者声称用AI完全重写代码并改为MIT许可，原作者Mark Pilgrim指出这违反LGPL，揭开AI时代开源许可证执行的新难题。

揭示AI编程时代开源许可证执行的法律灰色地带，对开发者和法务人员具有重要警示意义。

4. Introducing GPT‑5.4 · 5.0/10 · simonwillison

Introducing GPT‑5.4 Two new API models: gpt-5.4 and gpt-5.4-pro , also available in ChatGPT and Codex CLI. August 31st 2025 knowledge cutoff, 1 millio

5. Something is afoot in the land of Qwen · 5.0/10 · simonwillison

I'm behind on writing about Qwen 3.5, a truly remarkable family of open weight models released by Alibaba's Qwen team over the past few weeks. I'm hop

---

2026-03-06 22:02 UTC · Kimi K2 · 94 sources