1. 🔴 axios скомпрометований на npm

якщо сьогодні робили npm install — перевірте себе прямо зараз

так зламали npm-акаунт головного мейнтейнера axios (83 млн завантажень на тиждень). опублікували axios@1.14.1 і axios@0.30.4 з прихованою залежністю plain-crypto-js, яка при встановленні тихо ставить RAT — remote access trojan. macOS, Windows, Linux 😱

і це не якийсь тупий скрипт. атака була підготовлена за 18 годин: спочатку опублікували чисту версію plain-crypto-js щоб не тригернути сканери, потім додали payload, потім вбили обидві гілки axios за 39 хвилин. після інсталяції дроппер видаляє сам себе і підміняє package.json на чистий — npm audit нічого не покаже

що робити:
— перевірити чи є node_modules/plain-crypto-js/ у ваших проєктах
— відкотитись на axios@1.14.0 або axios@0.30.3
— якщо знайшли — ротейтити всі ключі, токени, credentials на цій машині
— в CI/CD: npm ci --ignore-scripts

до речі bun і pnpm не виконують lifecycle scripts за замовчуванням. ще один аргумент перейти на bun :)

StepSecurity розбір · GitHub issue

2. Universal CLAUDE.md залетів на HN

один файл, 60 рядків. кидаєш у корінь проєкту — Claude Code одразу читає і змінює поведінку. автор каже мінус 63% output токенів 🤔

що всередині: забороняє preamble ("Great question!", "Sure!", "Certainly!"), забороняє restating промпту, вимагає відповідь з першого рядка а reasoning після, тільки structured output, ASCII-only типографіка, zero tolerance на sycophancy. по суті набір правил "не будь ChatGPT" 😂

а в коментах на HN цікава дискусія: дехто каже що verbosity це не баг а фіча (і я скоріше на цьому боці) — коли Клод пояснює що робить, він менше губиться в довгих сесіях. тобто зрізати reasoning токени може здешевити сесію але зіпсувати результат))

імхо це скоріше не CLAUDE.md, а скіл — і краще було б зробити його on-demand а не глобальним

GitHub · HN обговорення

3. OpenClaw 2026.3.28 — ще один крок до дорослого агентного рантайму

свіжий реліз: додали xAI як ще один search-провайдер (до Tavily, Exa, Firecrawl), зробили requireApproval у before_tool_call — агент планує що хоче, але поки не підтвердиш — нічого не виконає. ACP-сесії тепер біндяться в поточний чат, Codex-агенти патчать файли з коробки

GitHub release