近期重大安全事件

4 月 2 日
 q534
波及相当广泛的:
liteLLM 投毒
axios 投毒
apifox cdn 恶意脚本
iOS 系统级弹窗安全警告( Coruna / DarkSword ),波及 ios 几乎所有主要版本,没记错的话应该是苹果第一次用这种弹窗

接下来被偷了凭证但是没轮换的开发者又能造成多大破坏呢,不敢想
比如: https://t.me/weflow_cc/306

append: 想讨论一下怎么做一些基础的防护,比如给重要的密钥加 passphrase 。但是很多 apikey 还是要明文存在本地.env 里面,不知道怎么办?
7450 次点击
所在节点    信息安全
23 条回复
midraos
4 月 2 日
我是自己做了一个 API 网关,真实的 apikey 都保存在网关上,本地只有虚假的 API 网关的 key
stinkytofux
4 月 2 日
没有办法避免. 只能给重要服务器加 ip 访问白名单, 避免外部入侵.
Ayanokouji
4 月 2 日
本机开了防火墙,新请求都有弹窗,只能自己多注意下了,但是也不能排除自己疏忽,放行了
q534
4 月 2 日
@Ayanokouji apifox 这种,熟悉的进程发起的,域名又是很容易看走眼的 apifox.it.com ,真的能做到每条审查吗?。。很难吧,如果是我我会直接让防火墙信任,然后就漏过去了
q534
4 月 2 日
@midraos 学习了,好实践
Ayanokouji
4 月 2 日
@q534 是的,看走眼就没辙。就跟 axios 帖子那个兄弟似的,火绒已经告警了,但是还是放行了。
bcllemon
4 月 2 日
@q534 apifox 单纯是自己 cdn 被投毒了,和 apifox.it.com 没直接关系
XWZCoffee
4 月 2 日
我真的被这种事搞得好累,很多防护都没用,总会有个环节会漏洞。
Duolingo
4 月 2 日
所以证明了定期重装系统的必要性( doge )
IceRovah
4 月 2 日
apifox 暴雷后换了电脑上所有 ssh 密钥,新密钥都设置密码了,应该稳当一些吧
momooc
4 月 2 日
如果密钥设置的简单密码,那么不也很容易破解吗?
cyp0633
4 月 2 日
weflow 这事还是挺吓人的,issue 里 collaborator 一开始完全没意识到
Sezxy
4 月 2 日


最新安全事件
bbbblue
4 月 2 日
passphrase 都加上了
不过的确。。环境变量里的内容就难顶了。。。
Hashbaby
4 月 2 日
是的 github 应该自己手动编译 但是有心的恶意开发者有一百种方法运行恶意代码
BeautifulSoap
4 月 2 日
感觉躲不了,只能物理断网
最近这么一大堆爆发,我越来越感觉应该是黑客已经开始熟悉怎么通过 ai 进行攻击了
很多凭证我估计就是通过 ai 的相关 agent 漏洞之类的被泄露的
kamikat
4 月 3 日
第三方服务用 docker 部署,开发环境用 docker 容器隔离,不装 Electron 打包的垃圾应用
Ne
4 月 3 日
外面 都是草台班子,只能自己看着办!
q534
4 月 3 日
@Ayanokouji 而且如果用 clash 之类的,防火墙会全都识别成代理进程的请求,更没辙了
q534
4 月 3 日
@XWZCoffee
@Ne 重要的密钥加个长 passphrase ,其他的 API 之类真没招
@momooc 不能设置简单密码,配合 keychain 可以做到更安全和更方便?毕竟直接后台悄悄读 keychain 还是比较难的,会弹窗。
@IceRovah 我花了一天重装和轮换

@XWZCoffee 是的,杀毒软件比如说就没用,防火墙有用,但是如果用了代理软件,还是没用

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1203120

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX