V2EX › tutusolo 的所有回复 › 第 1 页 / 共 4 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

1 2 3 4

❮

❯

5 月 17 日

回复了 tidilist 创建的主题 › macOS › 做了个 macOS 壁纸应用，想向大家征求一下意见或者建议。

PE387TYN8FRM8YEAJ6 已用

4 月 17 日

回复了 weiwenhao 创建的主题 › 分享创造 › [送码]多角色沉浸式听书 app, 送 20 个订阅，注册留邮箱即可

ODUzNDU4NDMzQHFxLmNvbQ== 试试效果

3 月 26 日

回复了 eviladan0s 创建的主题 › 信息安全 › Apifox 遭受供应链攻击

@YIsion
1. ❌ 没有沙箱模式 (No Sandbox)

Apifox 没有使用 macOS App Sandbox ，意味着它可以访问整个文件系统

2. ⚠️ Electron + Node.js

Apifox 是 Electron 应用，内置 Node.js 环境，可以直接执行系统命令：
require('child_process').exec('cat ~/.ssh/id_rsa')

3. 网络权限

NSAllowsArbitraryLoads=true 允许连接任意域名，包括恶意域名 apifox.it.com

---
结论

是的，Apifox 可以读取您的主目录。由于没有沙箱限制，被植入的恶意代码可以：

1. 读取 ~/.ssh/ 中的 SSH 密钥
2. 读取 Git 配置和凭证
3. 读取命令历史
4. 执行任意系统命令

建议立即行动：
1. 删除 SSH 密钥并重新生成
2. 更改 Git 远程仓库密码
3. 清除 localStorage 和 Session Storage
4. 等待官方修复版本

这是 ai 排查的结果

2025 年 11 月 11 日

回复了 sdwgyzyxy 创建的主题 › MacBook › 现在买二手 M1Max 16 寸， 10+32， 64+1T，值不值？

@ccsulzf0627 哪里有，找了半天没找到，方便推荐几个商家呗

2025 年 10 月 11 日

回复了 carson8899 创建的主题 › Solana › 行情暴跌，大家来这取取暖！

感谢大佬

2025 年 9 月 18 日

回复了 PilgrimSun 创建的主题 › Solana › 关于我买和卖 v 币的说明

这楼盖的也太快了

2025 年 8 月 15 日

回复了 IZILE 创建的主题 › Solana › 随机抽 50 位老哥空投 1k$mb

2NfMZyDGUB5hkqwQAunDte4mZPxxctFXy7YrmFQyc8Hw 感谢