如何判断一个「一键脚本」没有夹带私货？

那你把脚本丢给 chatgpt 让它帮你审查一下
我反正是会看一下的 如果哪里不喜欢还会改一下

不放心的不要用，尤其是服务器。
自己读一遍，或用 AI 辅助读。
浏览器安装油猴脚本时都会自动弹出代码让你自己审查一遍，就是这个道理。

自己也是脚本作者，提供几点建议:
1.未开 ISSUE 区的需要谨慎
2.只有一两人维护的需要谨慎
3.小众的，无其他开源活跃者背书的需要谨慎
4.需要 root 权限的需要谨慎
5.脚本经过加密的需要谨慎
6.尽量使用官方推荐的一键
7.尽量使用维护更新透明(每一笔提交你能看到详细的修改内容)的一键

另外，不同人对于夹带私货的定义是有区别的。有的脚本作者喜欢在脚本中增加个人项目地址，博客地址，广告推广，这些在我看来都是可以的，有些人则不认同，这点就因人而异了。

对于部分想快速跑通不想看一眼的，只能靠信仰了

一般有官网，稍有点名气的，我就不审查了，因为用户多，大概率有人会审查，并且这种一旦发现就是大新闻。

用户量小的脚本必须要看，这个危险程度很高。

我选择不用

自己研究一下

一键脚本应默认视为有危险。不记得从什么时候开始流行 "curl | bash" 这种一键脚本，简直就是毒瘤。

你都用一键了 还管什么风险。

拉下来一行一行复制

看到一键就远离。自己一步一步来可能会遇到各种各样的问题，但是解决问题的过程更有意思

必须审查代码 不然就别用，前几天看个帖子 /t/928400 ，搭梯脚本直接把信息全上传到指定服务器了，而且这项目当时还有 1k+的 star

反正我是选择不用脚本

特别是那种通过 curl sh 执行的，直接通过管道传给 sh ，执行后可以不留下记录。远程的服务端完全有可能针对不同的 user-agent ，甚至随机返回带恶意代码的脚本。

@pigzilla 推广云服务器时候，给人一键装 docker 装应用 hhh 我感觉是这样起来的风气

1.之前我发过类似的贴子，回答不多，可以看看：/t/920810 ；

2.该说的上面 v 友说的差不多了，个人补充一下：
a.如果脚本代码量不多，可以自己 review 一下，把关键引用的库 /连接 /授权代码都排查一下；
b.如果代码量大且复杂，除了排查关键库 /链接外，可以先在虚拟机里跑一下，跑完后观察一下虚拟机有没有什么可疑
的端口 /进程等之类的。
c.除此了普通链接，包 /库这种外部引用外，有时还得留意镜像仓库地址之类的，当引用到不明镜像仓库时，有官方镜
像的可以下载到自己的仓库里再引用进来。

我以为 v 站会自动解析相对地址，上面的地址为： https://www.v2ex.com/t/920810

@OldCarMan #16 可以解析的，你两边没空白符。你看#12 就可以

@JinTianYi456 soga, get ✔

你信任的和你自己的。

能信的就大型开源项目的吧. 例如 docker 本身的一键安装. 讲真跑 v2ray 一键脚本的时候我都有点战战栗栗...