返回首页
最新
目前我只找到一个 GitHub 项目:https://github.com/OpenCoworkAI/open-codesign,但我希望能找到更多。
<a href="https://xcancel.com/orsonscottcard/status/2046702294406680751" rel="nofollow">https://xcancel.com/orsonscottcard/status/204670229440668075...</a>
使用 `<p>curl -s https://url | sudo bash<p>` 这种方式简直是疯狂。给予了根权限。我们知道账户是如何被攻破的,因此显然有可能这个网址会被黑客替换成恶意内容。我们甚至见过黑客入侵页面,返回标准页面,同时只针对少数人(例如地理位置)发送恶意数据。
然而,也有可能返回的是格式错误的文本。Bash 会乐意执行每一行代码,例如:
```
E#@%SDVsdcvxdsf4a6t4g
erfgrr;rm * regdfgereridbd
4524wfasrfv4
```
很难想象这样的输出?是的。不可能吗?绝对不是。在典型的 Linux 安装中,Bash 可以访问成千上万的命令,其中许多是具有破坏性的。为什么还要冒这个险呢?
除了格式错误之外,可能还会出现简单的发布错误。错误信息中可能包含代码行。未知文本。每一行返回的文本都会被执行。我简直无法相信这种情况在任何地方、出于任何原因都存在。我甚至不会在我自己的个人网络服务器上执行这样的命令,更不用说远程了。
当我在项目页面上看到这样的荒谬时,这对我来说是一个巨大的警示信号。便利性胜过最基本的安全性,甚至连简单的验证都没有,确保 curl 请求没有出错。由此产生的不信任感如同喉咙中的胆汁,项目作者采取了什么其他捷径,似乎对最基本的风险评估几乎一无所知?
请,永远不要执行这个。如果你不得不抛弃所有的理智和谨慎,使用一个建议这种安装方法的项目……那么,至少用 `curl > file` 并花一秒钟查看结果。