npm audit 实战避坑指南:AI编程工具自动修复 3 类高危依赖漏洞
1. npm audit 不是“一键修复”,而是三类高危漏洞的精准外科手术我第一次在 CI 流水线里看到npm audit --audit-level high报出 7 个HIGH、2 个CRITICAL漏洞时,下意识点了npm audit fix --force。5 分钟后,测试全部挂掉,jsonwebtoken升级到 v9.x 后verify()接口签名变了,express-session的resave默认值从true改成false,导致登录态集体失效。回滚代码、重跑 CI、排查日志——整整 47 分钟。这不是 npm audit 的问题。是人把audit当成了apt-get upgrade,而它本质是一份带上下文约束的漏洞诊断报告。AI 编程工具介入后,这个误用被放大了:它能秒生成npm install xxx@latest命令,也能秒写完升级后的兼容性适配代码,但如果你没告诉它“jsonwebtoken的verify调用必须保留ignoreExpiration: true参数”,它大概率会按最新文档生成不带该参数的调用——因为最新版默认已忽略过期校验,而你的业务逻辑恰恰依赖这个“过期但可读”的行为。本文只讲一件事