兩週前更新了 LinkedIn,馬上就很多人來敲。
其中一個稍微談了一下工作內容跟薪資,想說還不錯她就問要不要聊聊看。她說公司產品目
前已經有一個 MVP(類似產品原型,還不能發表的階段),叫我先看看有什麼想法。然後她
就傳了一個公開的個人 GitHub Repo,這個帳號底下只有這個專案,看起來有點詭異。
下載了之後,稍微看了一下 code 覺得東西蠻多的。一般來說我看到開源的專案會直接跑
跑看實際上成品是什麼,但跟她的對話還有這個 Repo,讓我有一種不對的感覺。
於是我用 DeepWiki(用 AI 幫 GitHub 專案建 Context 的對話工具)掃了這個專案,然後
問他這個專案有沒有什麼安全問題。DeepWiki 給了我幾個可疑的地方但我看過都是假警報
。但我不信邪又拿去給 Gemini CLI 掃,結果還真的掃出一個地方可以 Remote Execution
(遠端遙控你的電腦做事)。
如果我沒有突然警覺這個東西有問題,就直接跑下去,電腦上所有機密都飛了,損失可能
上百萬。接下來幾天又看到好幾個詐騙的帳號來敲,真的是超危險。
下方回覆與備註:
你下載就已經中獎了,請參考我主頁第二篇文,關於 RCE 遠端攻擊,所有電腦 & 瀏覽器的
key 均已被盜
https://www.facebook.com/share/p/1HFTHca3Vv/
真假
倒進IDE跑靜態分析也能盜?