tutusolo

V2EX member #269382, joined on 2017-11-22 18:31:28 +08:00

tutusolo 提问技术话题好玩工作信息交易信息城市相关

Per tutusolo's settings, the topics list is hidden

Deals info, including closed deals, is not hidden

tutusolo's recent replies

3 days ago

Replied to a topic by tidilist › macOS › 做了个 macOS 壁纸应用，想向大家征求一下意见或者建议。

PE387TYN8FRM8YEAJ6 已用

Apr 17

Replied to a topic by weiwenhao › 分享创造 › [送码]多角色沉浸式听书 app, 送 20 个订阅，注册留邮箱即可

ODUzNDU4NDMzQHFxLmNvbQ== 试试效果

Mar 26

Replied to a topic by eviladan0s › 信息安全 › Apifox 遭受供应链攻击

@YIsion
1. ❌ 没有沙箱模式 (No Sandbox)

Apifox 没有使用 macOS App Sandbox ，意味着它可以访问整个文件系统

2. ⚠️ Electron + Node.js

Apifox 是 Electron 应用，内置 Node.js 环境，可以直接执行系统命令：
require('child_process').exec('cat ~/.ssh/id_rsa')

3. 网络权限

NSAllowsArbitraryLoads=true 允许连接任意域名，包括恶意域名 apifox.it.com

---
结论

是的，Apifox 可以读取您的主目录。由于没有沙箱限制，被植入的恶意代码可以：

1. 读取 ~/.ssh/ 中的 SSH 密钥
2. 读取 Git 配置和凭证
3. 读取命令历史
4. 执行任意系统命令

建议立即行动：
1. 删除 SSH 密钥并重新生成
2. 更改 Git 远程仓库密码
3. 清除 localStorage 和 Session Storage
4. 等待官方修复版本

这是 ai 排查的结果

Nov 11, 2025

Replied to a topic by sdwgyzyxy › MacBook › 现在买二手 M1Max 16 寸， 10+32， 64+1T，值不值？

@ccsulzf0627 哪里有，找了半天没找到，方便推荐几个商家呗

» More replies by tutusolo