继续说开源之伤 : 真实可行的0day
上次在哪吒探针事件时说过,开源项目如果出现漏洞,很难静默修复,有心之人分析一下diff一下,很容易发动 0day 攻击。 以前还要读代码,现在甚至代码都不用读了,扔给ai就几秒的事。
今天再次看到一个反面例子。开发商在这次事件中的表现那是相当的不专业。
某开源软件发了一个紧急通知:

马上 ai 走起,提示语:帮我看看一个开源项目,new api,它的 v1.0.0-rc.18 版本修复了一个和帐户余额有关的什么漏洞
ai 回报:

够明白了吧,只要在 api 请求时,改一下 max_tokens,然后余额起飞啦。
暂无评论