依赖混淆供应链攻击最近引发了很多关注，在 Go 生态系统中，依赖混淆问题基本上不存在，原因是它明确指定了要导入的包。但 Go 并不能免于供应链攻击，因为你在导入外部的软件包时可能会犯下输入错误的问题，而如果攻击者利用这种输入错误，那么你仍然可能会不小心在软件中整合了恶意的包。有开发者调查了 Go 生态系统中的这种错误输入供应链攻击，发现了多个流行库的名字相似的可疑软件包。其中之一会访问属于腾讯的 IP 地址，将收集到的系统信息作为 URL 参数以 HTTP 形式发送过去。