一位自称 Jia Tan 的开发者,花了三年时间,取得开源软件 xz 社区信任,谨慎地植入了一个后门,可以让攻击者无需账号也能通过 sshd 进入系统。如果成功,大多数 Linux 系统(也就是大多数公司的服务器使用的操作系统)都会受到影响。
最后功亏一篑——因为程序没写好,系统资源占用过高,被一位认真的工程师分析并发现。
这几天网上有很多技术分析(我看不懂)和讨论,说说我的观点。
这次事件,其实正好证明了开源界常说的:只要有足够的眼睛关注,任何漏洞都无处藏身。
任何软件,而不仅仅是开源软件,会受到这样的攻击。商业产品中被发现后门的事件,历史上发生过不止一次。
未来的 AI 或许有机会帮助检查出类似构造巧妙的后门和漏洞。
开发者们可能会面临一小波信任危机——要取得社区的信任,以后或许会更加艰难一些。而中国开发者(虽然 Jia Tan 未必——甚至大概率不来自中国,但这个 ID 的设计,就会带来不好的影响)会面临更多挑战。
对于信任问题,或许一个解决办法是付费。具体实现是:要提交代码,先做一笔小额支付验证身份,认证完成后可以立即返还。后续代码质量高,项目方甚至可以将收到的捐赠款项分配给贡献者。在知识星球里,通过付费,我们减少了数据量、噪音,提高了服务质量。在开源领域,或许有机会通过付费,借助真实世界里对金融领域的严谨认证来保障信任。
对这类攻击,普通用户其实没什么好应对的,要我说,“用小众产品”就能避开很多攻击。
要是真的很在意,那我有些朋友有些古怪习惯,比如:只在虚拟机里访问网络。比如:用极“老旧”但是稳定的系统和版本。
--
欢迎你加入我的知识星球,我们一起聊聊创业、产品、运营、阅读。微信识别二维码,付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款。——>星球创业笔记传送门。
