PyPI 禁用 Inbox.ru 邮箱注册，背后是一场潜在攻击预演。 6 月下旬起，PyPI 平台出现大规模恶意账户注册潮：仅 6 月 24 日当天，Inbox.ru 邮箱创建账户 200 多个，随后 1,500 多个项目迅速发布——但几乎全是空壳，未包含任何代码，显然是准备发动供应链攻击。 这些项目伪装成知名库的变体名称，试图混淆安装指令；更可怕的是，AI 助手竟然还会推荐这些假项目！一位开发者使用 Claude Sonnet 时，被建议安装一个根本不存在的“Slopsquatting”库。 PyPI 已紧急封禁 Inbox.ru 邮箱，并清除全部恶意账户与项目。 这件事警示两点： 1. AI 虽强，仍可能被训练数据误导、推荐恶意包； 2. 开源平台正被当作攻击跳板，运维人员和开发者必须具备源头识别能力。 🟦 你现在用 AI 辅助开发吗？它帮你变快了吗？有没有帮你“装错东西”过？ PyPI安全 AI开发风险 Inbox.ru封禁