科技・資安 AI 開發框架 Mastra 的 npm 套件遭大規模投毒:舊貢獻者權限沒收回,成了供應鏈破口 一個放了 16 個月、沒人記得的舊帳號,撬開了週下載破百萬的 @mastra 套件生態。AI 供應鏈最大的漏洞不是程式碼,是沒人收回的權限。 張饒輝 Lightman Chang 2026年7月1日 15 分鐘