重回、呢喃 #69 | 網路黑手的呢喃

最近炸到不像話的 npm supply chain attacks

雖然供應鏈攻擊在 npm 生態中已經司空見慣了，不過最近這個連環爆真的是讓人覺得害怕 😅

Malicious update to @ctrl/tinycolor on npm is part of a supply-chain attack hitting 40+ packages across maintainers

https://socket.dev/blog/tinycolor-supply-chain-attack-affects-40-packages

Popular Tinycolor npm Package Compromised in Supply Chain At...

Updated and Ongoing Supply Chain Attack Targets CrowdStrike ...

Socket detected multiple compromised CrowdStrike npm packages, continuing the "Shai-Hulud" supply chain attack that has now impacted nearly 500 packag...

https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

Updated and Ongoing Supply Chain Attack Targets CrowdStrike ...

只能說生態的特性（小而多的模組）剛好成為現今駭客容易攻擊的目標。老實說這個不好的狀況大概還會持續下去，畢竟在 Github 收了 npm 之後幾乎等於是 mantance mode 了，但這個鍋現在應該要算在 MS 身上了（唉，實在不容樂觀...）

不過還是要平反一下，最近官方還是針對最近嚴重的攻擊事件發了一篇專文來說明，不意外就是要逐步汰換一些相對不安全的方法，還有前陣子才宣布支援的 OIDC 的發佈方式。

Our plan for a more secure npm supply chain

GitHub is strengthening npm's security with stricter authentication, granular tokens, and enhanced trusted publishing.

https://github.blog/security/supply-chain-security/our-plan-for-a-more-secure-npm-supply-chain/

除了 npm 之外，其他諸如 yarn、pnpm 也都有了相對的改善。一開始最近一連串的爆炸的時候，其實有不經意想起了 Deno，依稀記得它們也是以安全作為特點，想說怎麼不趁這個機會好好宣傳一波，終於後來有看到它們發出來的公告。（每次提到 Deno 都會恨鐵不成鋼的多說幾句，除了還需要加油的效能之外，實在應該好好學習下 bun 的宣傳方式，相較之下真的差太多了...）。

其實我自己覺得這波 npm 的問題其實反而是 Deno 自推的 JSR 崛起的好機會，另外，它們一開始就把一些常見常用的功能集合在自家的 @std 也是個很好的特點，我個人其實也覺得 Node.js 真的應該好好思考維護一個 core standard library 的作法了。

在這波的消息之下，很特別看到 Obsidian 出來說了自己是怎麼避免這個 npm 生態常見的攻擊，還特別寫了一篇文章來說明，值得一讀也很有趣的切入角度：

雖然沒有單一措施能完全消除供應鏈風險，但 Obsidian 通過。
選擇較少依賴項、淺層依賴圖、精確版本鎖定、禁用 postinstall 腳本，以及緩慢且重視審查的升級節奏
，大大降低了受到影響的可能性，並為在代碼到達用戶之前檢測問題提供了充足的時間窗口。

Less is safer: how Obsidian reduces the risk of supply chain attacks

Supply chain attacks are malicious updates that sneak into open source code used by many apps. Here’s how we design Obsidian to ensure that the app is a secure and private environment for your thoughts.

https://obsidian.md/blog/less-is-safer/

在這波風潮中，真的不能不能提一下 Socket 這間資安服務的公司（它的創辦人也是之前 Node.js 有名的模組作者 - Feross），除了鉅細靡遺的說明公告之外，它們也很快推出了一個小工具 - sfw。就是能無痛整合多數的 package manager，在安裝的時候來幫你掃描安裝套件有沒有什麼安全性的問題 ⬇️

此外，他也有接受不少 Podcasts 訪談來說明這些資安的議題，推薦有興趣的開發者可以收聽 👍

希望這波的問題，可能促使 Node.js 的生態圈能反思並朝向一個更健康的方向來發展。🤞

Cloudflare birthday week 又來了...😅

別誤會，這是稱讚的意思

不知不覺又到了 Cloudflare birthday week 的時候（其實我都記不起到底是什麼時候，大概永遠都記不住吧，都是看到公告才知道）- 原來是 9/27 😅。

雖然有些紛紛擾擾，不過最近最 Cloudflare 這間公司也是好感度越來越高了，一方面是身為網路從業人員，經常會使用到他們的「免費」服務，另外，最近開始追他們的產品發表之類的新聞之後，真的覺得它們的戰力越來越強大了，比起失落的 Google IO 跟本來就沒什麼期待的 WWDC，Cloudflare 的發表會經常會出現眼睛一亮的東西，希望它們能繼續維持下去，然後有機會變成雲端第四大勢力！😎

稍微簡列一下今年看到幾個有趣的東西：

AI & Payment

AI 議題其實貫串幾乎是整個新發表的功能，不過還是有不同面向的有趣東西，其中有不少是跟金融、支付相關的有趣東西：

Launching the x402 Foundation with Coinbase, and support for x402 transactions

Cloudflare is partnering with Coinbase to create the x402 Foundation and adding x402 support to the Agents SDK & MCP Servers.

https://blog.cloudflare.com/x402/

其一是弄了一個 x402.org 的基金會來推廣這個他們跟 Coinbase 合力推廣這個支援網路上金流互動的協定，想當然爾這就是為了 AI Agent 推出的嘛，這樣之後 Agent 協助購物就不是難事了。

它們也弄了一個展示 x402 運作的測試站，想對這個協定如何運作的會可以跳轉

x402 Playground

https://playground.x402.cloudflare.com/?id=9696e4bb-1fd5-44a0-944b-2093c84d4e58

雖然我可能也不敢立刻嘗鮮，不過感覺是值得關注的東西，等到這個協定更加的成熟，相信之後整合 AI Agent 的金流流程一定會更加方便（不過會不會錢錢也在不知不覺中流失的更快了😅）

另一個就更酷了，Cloudflare 也打算推出自家的穩定幣 - NET Dollar。前陣子美國通過的天才法案之後，穩定幣這東西突然之間好像闖進了許多人的視窗裡面（沒錯就是像我這種孤陋寡聞的人 😂)，解釋這東西就不在這邊贅述了，前陣子剛好聽到 IEO 介紹了穩定幣，解釋的非常清楚。

NET Dollar™ — Cloudflare

A 1:1 USD-backed stablecoin built for agentic commerce. Enabling seamless, automated transactions with real-time settlement and programmable payments.

https://netdollar.cloudflare.com/

通過上述這兩項，如果 Cloudflare 真的能搶進接下來一定會崛起的 AI Agent 跨進電子商務、購買所帶來的自動化財務行為，感覺大有可為阿～

開源贊助者

雖然這些跟技術沒什麼直接的關係，不過 cf 也宣佈了幾個讓我很雀躍的消息：

Supporting the future of the open web: Cloudflare is sponsoring Ladybird and Omarchy

We're excited to announce our support of two independent, open source projects: Ladybird, an ambitious project to build a completely independent browser from the ground up, and Omarchy, an opinionated Arch Linux setup for developers.

https://blog.cloudflare.com/supporting-the-future-of-the-open-web/

Why Cloudflare, Netlify, and Webflow are collaborating to support Open Source tools like Astro and TanStack

Today, Cloudflare is proud to announce support for two cornerstone frameworks in the modern web ecosystem: we’re partnering with Webflow to sponsor Astro, and with Netlify to sponsor TanStack.

https://blog.cloudflare.com/cloudflare-astro-tanstack/

雖然可能知道劍指一些 JS framework 的用意，不過對這些開源專案有實際的財務贊助，比起說一堆白話還是有用許多。除了前端框架之外，還有 dhh 最近力推的友善的 Linux 桌面使用環境 - Omarchy，以及 Ladybird 這個重開發的新瀏覽器專案。

贊助開源專案就是 👍

內容提供者 vs AI

這塊感覺也是目前 Cloudflare 發力的其中一點（延續之前跟 Perplexity 的 drama，應該內容商跟 AI 模型商還有的戰），它們也繼續針對這個方向，提供了更多的工具。

譬如下面這篇提到的 Project Galileo，增加了針對 AI 爬蟲的控制權，讓內容提供者可以自由控制「他的內容是否要提供給特定的 AI 爬蟲」。

Helping protect journalists and local news from AI crawlers with Project Galileo

We are excited to announce that Project Galileo will now include access to Cloudflare's Bot Management and AI Crawl Control services. Participants in the program, which include roughly 750 journalists, independent news organizations, and other non-profits supporting news-gathering around the world, will now have the ability to protect their websites from AI crawlers - for free.

https://blog.cloudflare.com/ai-crawl-control-for-project-galileo/

另外還有更進一步的 AI Index。提供所有的內容生產者 AI 所需的資料格式（譬如 MCP、llms.txt、API 等），並給作者有管理的權力（就類似上述的 Project Galileo，這應該都是屬於它們推出的 AI Crawl Control 的功能。除了消極的防護之外，甚至也可以接上 x402 這類的功能，達到按抓取量收費的功效。

An AI Index for all our customers

Cloudflare will soon automatically create an AI-optimized search index for your domain, and expose a set of ready-to-use standard APIs and tools including an MCP server, LLMs.txt, and a search API. For AI builders, Cloudflare will offer a new way to discover and retrieve web content.