近期重大安全事件

This topic created in 40 days ago, the information mentioned may be changed or developed.

波及相当广泛的：
liteLLM 投毒
axios 投毒
apifox cdn 恶意脚本
iOS 系统级弹窗安全警告（ Coruna / DarkSword ），波及 ios 几乎所有主要版本，没记错的话应该是苹果第一次用这种弹窗

接下来被偷了凭证但是没轮换的开发者又能造成多大破坏呢，不敢想
比如： https://t.me/weflow_cc/306

append: 想讨论一下怎么做一些基础的防护，比如给重要的密钥加 passphrase 。但是很多 apikey 还是要明文存在本地.env 里面，不知道怎么办？

投毒

安全

密钥

23 replies 2026-04-10 15:45:55 +08:00

midraos

Apr 2

我是自己做了一个 API 网关，真实的 apikey 都保存在网关上，本地只有虚假的 API 网关的 key

stinkytofux

Apr 2

没有办法避免. 只能给重要服务器加 ip 访问白名单, 避免外部入侵.

Ayanokouji

Apr 2

本机开了防火墙，新请求都有弹窗，只能自己多注意下了，但是也不能排除自己疏忽，放行了

q534

Apr 2

@Ayanokouji apifox 这种，熟悉的进程发起的，域名又是很容易看走眼的 apifox.it.com ，真的能做到每条审查吗？。。很难吧，如果是我我会直接让防火墙信任，然后就漏过去了

q534

Apr 2

@midraos 学习了，好实践

Ayanokouji

Apr 2

@q534 是的，看走眼就没辙。就跟 axios 帖子那个兄弟似的，火绒已经告警了，但是还是放行了。

bcllemon

Apr 2

@q534 apifox 单纯是自己 cdn 被投毒了，和 apifox.it.com 没直接关系

XWZCoffee

Apr 2

我真的被这种事搞得好累，很多防护都没用，总会有个环节会漏洞。

Duolingo

Apr 2

所以证明了定期重装系统的必要性（ doge ）

IceRovah

Apr 2

apifox 暴雷后换了电脑上所有 ssh 密钥，新密钥都设置密码了，应该稳当一些吧

momooc

Apr 2

如果密钥设置的简单密码，那么不也很容易破解吗？

cyp0633

Apr 2

weflow 这事还是挺吓人的，issue 里 collaborator 一开始完全没意识到

Sezxy

Apr 2

最新安全事件

bbbblue

Apr 2

passphrase 都加上了
不过的确。。环境变量里的内容就难顶了。。。

Hashbaby

Apr 2

是的 github 应该自己手动编译但是有心的恶意开发者有一百种方法运行恶意代码

BeautifulSoap

Apr 2

感觉躲不了，只能物理断网
最近这么一大堆爆发，我越来越感觉应该是黑客已经开始熟悉怎么通过 ai 进行攻击了
很多凭证我估计就是通过 ai 的相关 agent 漏洞之类的被泄露的

kamikat

Apr 3

第三方服务用 docker 部署，开发环境用 docker 容器隔离，不装 Electron 打包的垃圾应用

Apr 3

外面都是草台班子，只能自己看着办！

q534

Apr 3

@Ayanokouji 而且如果用 clash 之类的，防火墙会全都识别成代理进程的请求，更没辙了

q534

Apr 3

@XWZCoffee
@Ne 重要的密钥加个长 passphrase ，其他的 API 之类真没招
@momooc 不能设置简单密码，配合 keychain 可以做到更安全和更方便？毕竟直接后台悄悄读 keychain 还是比较难的，会弹窗。
@IceRovah 我花了一天重装和轮换

@XWZCoffee 是的，杀毒软件比如说就没用，防火墙有用，但是如果用了代理软件，还是没用

florentino

Apr 3

All in Docker 只能这样了

Autonomous

Apr 7

我已经不敢把 NAS 暴露公网了，现在一律用代理连

XWZCoffee

Apr 10

博主，最近有人因为 apifox 服务器被登的么