兩週前更新了 LinkedIn，馬上就很多人來敲。 其中一個稍微談了一下工作內容跟薪資，想說還不錯她就問要不要聊聊看。她說公司產品目 前已經有一個 MVP（類似產品原型，還不能發表的階段），叫我先看看有什麼想法。然後她 就傳了一個公開的個人 GitHub Repo，這個帳號底下只有這個專案，看起來有點詭異。 下載了之後，稍微看了一下 code 覺得東西蠻多的。一般來說我看到開源的專案會直接跑 跑看實際上成品是什麼，但跟她的對話還有這個 Repo，讓我有一種不對的感覺。 於是我用 DeepWiki（用 AI 幫 GitHub 專案建 Context 的對話工具）掃了這個專案，然後 問他這個專案有沒有什麼安全問題。DeepWiki 給了我幾個可疑的地方但我看過都是假警報 。但我不信邪又拿去給 Gemini CLI 掃，結果還真的掃出一個地方可以 Remote Execution （遠端遙控你的電腦做事）。 如果我沒有突然警覺這個東西有問題，就直接跑下去，電腦上所有機密都飛了，損失可能 上百萬。接下來幾天又看到好幾個詐騙的帳號來敲，真的是超危險。 下方回覆與備註: 你下載就已經中獎了，請參考我主頁第二篇文，關於 RCE 遠端攻擊，所有電腦 & 瀏覽器的 key 均已被盜 https://www.facebook.com/share/p/1HFTHca3Vv/ 真假 倒進IDE跑靜態分析也能盜? -- https://i.imgur.com/xrVFo3Q.png 把煙吸到肺裡，而黑色的肺就是自己的「業障」。 - 最遊記 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.216.106.100 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1767937757.A.AFD.html