用 socket.dev 给 npm install 包一层安全防御

没想到，AI 大炼钢受害者是 npm

那要是给 npm 上面的 socket 包投了毒呢，socket 是保护 npm 的，同时又使用 npm 下载，这个莫名戳中笑点

@lisxour 再给 socket 包一层安全防御

@nanqic 俄罗斯套娃

屎山裹小脚的即视感

@lisxour 用这个库，在加个 3 天之内的包不安装就差不多了，如果还中毒估计就不是小问题了
npm install -g @aikidosec/safe-chain
safe-chain setup

最好的办法就是不要再 node 一把刷了，有了 AI ，该 IOS 就 swift ，Android 就 Java ，AI 就 Python 。

@jaff #7 确实，跨平台技术一堆坑

现在 ai 时代代码产出太多太快了，看都看不过来了。

@jaff 有了 AI 最好的办法不应该全部 node 手搓吗，要啥功能直接搓 😆

@jaff node 的包管理确实风险较大

@jaff
有 AI 了更不应该用你说的那些了，直接用 C++，性能更好🐶

@jaff web 端咋办

@Ayanokouji web 还是留给 Node ，至少会降低损失。

注意上面，我说的是： 不要 node 一把刷， [做正确的事选择正确的工具] ，而不是一把刷，比如上面有提到 C++的，又或者是手搓 node 代码的，不要从一个极端走向另一个。

总结： 做正确的事选择正确的工具。

https://aube.en.dev/security.html
最近看到的一个包管理