4.1不是愚人节,是我电脑离死最近的一次

2026-06-09 20:26:20 166阅读 0评论 SEO基础
  • 内容介绍
  • 文章标签
  • 相关推荐
问题描述:

虽然是Mac用户不用Arch,但是我也很喜欢滚动更新
每天固定brew upgrade一次(虽然肯定没有Arch范围广哈)
然后4.1升级了codex v118.0版本
晚上回家照常打开codex,准备“天才程序员上线”
然后Mac突然显示说,codex可能会危害我的电脑,没有打开成功,我只有两个选项,一个关闭另外一个是移到废纸篓
我感觉Mac的自带扫描很少发癫,但是我寻思OpenAI的软件咋会坑我呢
我轻车熟路打开系统设置>隐私与安全性
然后对codex的那个安装包选择了仍要打开,确认密码以后警告消除了
再到iTerm2运行一次codex,最后一次跳警告了,这次选项里面有打开codex的选项了
就在我点的前一秒钟,真的就是前一秒钟
我突然脑子一闪不对劲。。。上午听说新版本的Claude Code遇到了供应链投毒,axios被投毒了,不会codex也有吧
然后选择了关闭程序,问了下Gemini,Google搜了一圈回来哎娱乐还真是。。。
然后简单算了下,就家里这个网速,偷走ssh密钥,gpg密钥和浏览器密码传出去不要2秒我来不及反应的
给我吓死了,还好关掉了
而且还好是brew直接装的二进制,要是npm直接起来了
然后冥思苦想三天。。。
这些东西都是我信任的程序,要是哪一天供应链投毒我会极其脆落,怎么防呢,我就在想有没有什么可以管控特定程序才能访问特定目录
Linux很好实现这个东西,只要掏出Linux近10年最伟大的发明eBPF就好
我寻思自己要不写个eBPF挂到内核里面
查了下这个东西在macOS叫做ESF,但是这玩意是要申请的一般只给EDR厂商用,除非我关掉SIP裸奔调试
找到了前Google维护的Santa,这个ESF是申请好了的,而且也支持FAA,特定进程才可以访问特定目录
虽然现在Santa配置FAA还是相当麻烦的,但是起码可以用了,到时候看给santa提交个pr或者自己写个方便改配置的娱乐就行

我现在把ssh密钥这些都设置的只有Finder或者他们自身进程可以访问
还有zsh_history这些不能直接访问
别的程序,比如node去读ssh目录,那绝对有鬼,没事读这玩意干什么,然后Santa在内核层面就会给他扬了

总之安心多了

4.1不是愚人节,是我电脑离死最近的一次

网友解答:
--【壹】--:

我裸奔的Windows怎么办


--【贰】--:

我的 paru 炸过, 后面换 yay 了

4.1不是愚人节,是我电脑离死最近的一次


--【叁】--:

好像Windows Defender有可以修改文件的访问权限,但是win似乎只认权限不认程序


--【肆】--:

每天定时运行一次paru,连续半年了没炸过

标签: 愚人节 最近 不是
问题描述:

虽然是Mac用户不用Arch,但是我也很喜欢滚动更新
每天固定brew upgrade一次(虽然肯定没有Arch范围广哈)
然后4.1升级了codex v118.0版本
晚上回家照常打开codex,准备“天才程序员上线”
然后Mac突然显示说,codex可能会危害我的电脑,没有打开成功,我只有两个选项,一个关闭另外一个是移到废纸篓
我感觉Mac的自带扫描很少发癫,但是我寻思OpenAI的软件咋会坑我呢
我轻车熟路打开系统设置>隐私与安全性
然后对codex的那个安装包选择了仍要打开,确认密码以后警告消除了
再到iTerm2运行一次codex,最后一次跳警告了,这次选项里面有打开codex的选项了
就在我点的前一秒钟,真的就是前一秒钟
我突然脑子一闪不对劲。。。上午听说新版本的Claude Code遇到了供应链投毒,axios被投毒了,不会codex也有吧
然后选择了关闭程序,问了下Gemini,Google搜了一圈回来哎娱乐还真是。。。
然后简单算了下,就家里这个网速,偷走ssh密钥,gpg密钥和浏览器密码传出去不要2秒我来不及反应的
给我吓死了,还好关掉了
而且还好是brew直接装的二进制,要是npm直接起来了
然后冥思苦想三天。。。
这些东西都是我信任的程序,要是哪一天供应链投毒我会极其脆落,怎么防呢,我就在想有没有什么可以管控特定程序才能访问特定目录
Linux很好实现这个东西,只要掏出Linux近10年最伟大的发明eBPF就好
我寻思自己要不写个eBPF挂到内核里面
查了下这个东西在macOS叫做ESF,但是这玩意是要申请的一般只给EDR厂商用,除非我关掉SIP裸奔调试
找到了前Google维护的Santa,这个ESF是申请好了的,而且也支持FAA,特定进程才可以访问特定目录
虽然现在Santa配置FAA还是相当麻烦的,但是起码可以用了,到时候看给santa提交个pr或者自己写个方便改配置的娱乐就行

我现在把ssh密钥这些都设置的只有Finder或者他们自身进程可以访问
还有zsh_history这些不能直接访问
别的程序,比如node去读ssh目录,那绝对有鬼,没事读这玩意干什么,然后Santa在内核层面就会给他扬了

总之安心多了

4.1不是愚人节,是我电脑离死最近的一次

网友解答:
--【壹】--:

我裸奔的Windows怎么办


--【贰】--:

我的 paru 炸过, 后面换 yay 了

4.1不是愚人节,是我电脑离死最近的一次


--【叁】--:

好像Windows Defender有可以修改文件的访问权限,但是win似乎只认权限不认程序


--【肆】--:

每天定时运行一次paru,连续半年了没炸过

标签: 愚人节 最近 不是