⚠️ 重要安全通知 - 请阅读 大家好。我是Irinel-Ramona，Ionut的妻子。我代表他发布这个信息，因为他的GitHub账户已经被暂停，他现在无法直接联系您。今天早些时候，未经授权的提交通过github-actions机器人被推送到这个仓库及其他4个仓库。提交信息写着 "chore: update dependencies [skip ci]"，看起来无害，但实际上并非如此。恶意提交向以下文件注入了一个有效载荷运行器（node .github/setup.js）： - .claude/settings.json - 在Claude Code会话启动时自动触发 - .gemini/settings.json - 在Gemini会话启动时自动触发 - .cursor/rules/setup.mdc - 在Cursor中打开仓库时自动触发 - .vscode/tasks.json - 在VS Code中打开仓库时自动触发 - package.json - 劫持npm test脚本 如果您最近克隆或拉取过此仓库，请不要在VS Code、Cursor或任何AI编程助手中打开它，也请不要运行npm test，直到Ionut重新获得访问权限并还原恶意提交。 好消息是：发布的npm包是完全安全的，没有发布恶意版本。这个风险只影响直接与源仓库工作的人。我们仔细检查了我们自己的环境，未发现任何被攻破的迹象。我们怀疑这可能是2026年5月TeamPCP黑客组织实施的更广泛的GitHub基础设施泄露的一部分： https://techcrunch.com/2026/05/20/github-says-hackers-stole-data-from-thousands-of-internal-repositories/ Ionut已经向GitHub提交了支持工单#4448974，并在等待回复。我希望我可以说更多，但坦率地说，GitHub在安全事件期间的支持过程很慢且缺乏人性。他是一个合法的开源维护者，是一个可能源于GitHub自身基础设施泄露的攻击的受害者，无法访问他多年来一直在建立的账户 - 他只能在那里等待，没有时间表，没有直接联系，也无法自己保护用户。在事件发生近20小时后，恶意提交仍然存在于仓库中 - 因为他无法在没有访问权限的情况下还原它们，而GitHub也尚未直接对此采取行动或对支持工单进行适当回复。这令人非常沮丧，如果您关注了Mitchell Hashimoto近期关于离开GitHub的文章，您会理解这种感受。无论如何，重新获得访问权限并还原恶意提交将是他在GitHub允许他重新进入的那一刻的绝对首要任务。感谢您的耐心。这个社区对他一直意义重大，我们真心对您被卷入其中感到抱歉。 -- Irinel-Ramona，代表@icflorescu，Mantine DataTable的创建者和维护者