上次在哪吒探针事件时说过,开源项目如果出现漏洞,很难静默修复,有心之人分析一下diff一下,很容易发动 0day 攻击。 以前还要读代码,现在甚至代码都不用读了,扔给ai就几秒的事。
今天再次看到一个反面例子。开发商在这次事件中的表现那是相当的不专业。

某开源软件发了一个紧急通知:

image.webp

马上 ai 走起,提示语:帮我看看一个开源项目,new api,它的 v1.0.0-rc.18 版本修复了一个和帐户余额有关的什么漏洞

ai 回报:

image.webp

够明白了吧,只要在 api 请求时,改一下 max_tokens,然后余额起飞啦。

标签: none

暂无评论

添加新评论