tutusolo

V2EX 第 269382 号会员，加入于 2017-11-22 18:31:28 +08:00

tutusolo 提问技术话题好玩工作信息交易信息城市相关

根据 tutusolo 的设置，主题列表被隐藏

二手交易相关的信息，包括已关闭的交易，不会被隐藏

tutusolo 最近回复了

6 天前

回复了 weiwenhao 创建的主题 › 分享创造 › [送码]多角色沉浸式听书 app, 送 20 个订阅，注册留邮箱即可

ODUzNDU4NDMzQHFxLmNvbQ== 试试效果

3 月 26 日

回复了 eviladan0s 创建的主题 › 信息安全 › Apifox 遭受供应链攻击

@YIsion
1. ❌ 没有沙箱模式 (No Sandbox)

Apifox 没有使用 macOS App Sandbox ，意味着它可以访问整个文件系统

2. ⚠️ Electron + Node.js

Apifox 是 Electron 应用，内置 Node.js 环境，可以直接执行系统命令：
require('child_process').exec('cat ~/.ssh/id_rsa')

3. 网络权限

NSAllowsArbitraryLoads=true 允许连接任意域名，包括恶意域名 apifox.it.com

---
结论

是的，Apifox 可以读取您的主目录。由于没有沙箱限制，被植入的恶意代码可以：

1. 读取 ~/.ssh/ 中的 SSH 密钥
2. 读取 Git 配置和凭证
3. 读取命令历史
4. 执行任意系统命令

建议立即行动：
1. 删除 SSH 密钥并重新生成
2. 更改 Git 远程仓库密码
3. 清除 localStorage 和 Session Storage
4. 等待官方修复版本

这是 ai 排查的结果

2025 年 11 月 11 日

回复了 sdwgyzyxy 创建的主题 › MacBook › 现在买二手 M1Max 16 寸， 10+32， 64+1T，值不值？

@ccsulzf0627 哪里有，找了半天没找到，方便推荐几个商家呗

2025 年 10 月 11 日

回复了 carson8899 创建的主题 › Solana › 行情暴跌，大家来这取取暖！

感谢大佬

» tutusolo 创建的更多回复