العقود الآجلة
وصول إلى مئات العقود الدائمة
CFD
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
عروض ترويجية
AI
Gate AI
شريكك الذكي الشامل في الذكاء الاصطناعي
Gate AI Bot
استخدم Gate AI مباشرة في تطبيقك الاجتماعي
GateClaw
Gate الأزرق، جاهز للاستخدام
Gate for AI Agent
البنية التحتية للذكاء الاصطناعي، Gate MCP، Skills و CLI
Gate Skills Hub
أكثر من 10 آلاف مهارة
من المكتب إلى التداول، مكتبة المهارات الشاملة تجعل الذكاء الاصطناعي أكثر فعالية
GateRouter
ختر بذكاء من أكثر من 40 نموذج ذكاء اصطناعي، بدون أي رسوم إضافية 0%
حذف حزمة السموم لا فائدة منه: MiniShai-Hulud يؤثر على TanStack و OpenSearch و Mistral clients
وفقًا لمراقبة Beating، هناك دودة سرية تُدعى «Mini Shai-Hulud» (وهي دودة الرمل في فيلم «الكثيب») تنتشر عبر بيئة الواجهة الأمامية والخلفية للذكاء الاصطناعي. قام فريق المهاجمين TeamPCP في الساعة 3:20 إلى 3:26 صباحًا (بتوقيت UTC+8) في 12 مايو باختطاف خط أنابيب النشر الرسمي لـ TanStack، ورفع 84 إصدارًا خبيثًا من 42 حزمة رسمية إلى npm، بما في ذلك @tanstack/react-router الذي يحصد ملايين التنزيلات أسبوعيًا. ثم انتشرت الدودة عبر الحدود إلى PyPI، وأحدث قائمة ضحاياها تشمل Amazon @opensearch-project/opensearch (npm، 1.3 مليون تنزيل أسبوعيًا)، وعميل Mistral الرسمي mistralai، وأداة الحماية AI guardrails-ai (جميعها على PyPI).
تبدو الحزم الخبيثة تمامًا كالإصدارات الرسمية. لم يسرق المهاجمون أي بيانات اعتماد طويلة الأمد، بل استغلوا ثغرة في تكوين GitHub Actions لاختطاف خط أنابيب النشر الرسمي، والحصول على صلاحية نشر مؤقتة شرعية. وبذلك، حصلت الحزم الخبيثة على توقيع مصدر بناء SLSA الحقيقي (provenance، وهو علامة تثبت أن الحزمة ناتجة فعليًا عن خط أنابيب رسمي)، مما يثبت أصالتها. تم تجاوز منطق الثقة السابق القائم على «التوقيع = الأمان» بشكل كامل.
الأمر الأخطر هو أن إلغاء تثبيت الحزمة الضارة لا يكفي. أظهر تحليل Socket.dev أن الدودة بعد تثبيتها تقوم في الخلفية بكتابة نفسها في خطاف تنفيذ Claude Code (ملف .claude/settings.json) وتكوين مهام VS Code (ملف .vscode/tasks.json). حتى لو تم حذف الحزمة الضارة، طالما أن المطور يفتح مجلد المشروع أو يستدعي مساعد الذكاء الاصطناعي، فإن الشفرة الخبيثة ستعود تلقائيًا. أما على جانب بايثون، فالمسألة أسهل: لا يحتاج المطور حتى لاستدعاء أي دالة، فقط استيراد الحزمة المصابة سيؤدي إلى تنشيط سرّي لعملية سرقة البيانات.
على نطاق التوزيع، يكتب فريق TeamPCP على النطاق المزيف git-tanstack[.]com بسخرية: «لقد سرقنا بيانات اعتماد أكثر من ساعتين عبر الإنترنت، لكنني فقط أتيت لأقول مرحبًا :^)». لا تزال الدودة تتكاثر ذاتيًا وتنتشر. يجب على الأجهزة التي ثبتت الحزم المتأثرة خلال فترة النافذة المذكورة أن تتعامل مع الأمر على أنه اختراق: استبدال جميع بيانات الاعتماد في AWS وGitHub وnpm وSSH على الفور، والتحقيق بشكل شامل في مجلدات .claude/ و .vscode/، وإعادة تثبيت الحزم من ملف قفل نظيف.