两周前更新了 LinkedIn,马上就很多人来敲。
其中一个稍微谈了一下工作内容跟薪资,想说还不错她就问要不要聊聊看。她说公司产品目
前已经有一个 MVP(类似产品原型,还不能发表的阶段),叫我先看看有什么想法。然后她
就传了一个公开的个人 GitHub Repo,这个帐号底下只有这个专案,看起来有点诡异。
下载了之后,稍微看了一下 code 觉得东西蛮多的。一般来说我看到开源的专案会直接跑
跑看实际上成品是什么,但跟她的对话还有这个 Repo,让我有一种不对的感觉。
于是我用 DeepWiki(用 AI 帮 GitHub 专案建 Context 的对话工具)扫了这个专案,然后
问他这个专案有没有什么安全问题。DeepWiki 给了我几个可疑的地方但我看过都是假警报
。但我不信邪又拿去给 Gemini CLI 扫,结果还真的扫出一个地方可以 Remote Execution
(远端遥控你的电脑做事)。
如果我没有突然警觉这个东西有问题,就直接跑下去,电脑上所有机密都飞了,损失可能
上百万。接下来几天又看到好几个诈骗的帐号来敲,真的是超危险。
下方回复与备注:
你下载就已经中奖了,请参考我主页第二篇文,关于 RCE 远端攻击,所有电脑 & 浏览器的
key 均已被盗
https://www.facebook.com/share/p/1HFTHca3Vv/
真假
倒进IDE跑静态分析也能盗?