继续说哪吒探针漏洞,这次从代码层级
开源软件在安全上有一个很不好的地方,如果出现了漏洞,可以根据提交的补丁逆向找到漏洞实现细节,从而实现 0day 攻击。
哪吒探针在 2026/5/31 做了一次提交,提交号:083bc985c593574a259680f817b0a48bdf25e678,注释是:feat(auth): split inventory scope out of server scope,中文就是“将 inventory(清单)权限范围从 server(服务器)范围中拆分出来”。初看上去,这是一次很普通的提交,其实,就是我前面说的——他们总不成说“我是修改了一个路径穿越漏洞”吧?他们只能是将这个补丁偷偷埋藏在一堆别的修改之中。然而,对有心人来说(其实 AI 直接就能看出来,难度和代价并不高),在 controller.go 中,引入了两处修改:
漏洞已经很清楚,0day 指日可待。
后面的事情大家就都很清楚了,血雨腥风,我就不再揭伤疤了。
暂无评论