我用 哪吒监控 管理我的小鸡(服务器),作者奶爸更新得很勤,我也一直享受隔三岔五就用脚本升级一下的感觉。
最近几天,奶爸一直在频道里警告用户,赶紧升级到最新的版本,因为发现了一个重大的安全漏洞。昨天,他把漏洞的来龙去脉,以及如何自查,写成了 一篇博客。
我以外行的角度读下来,应该是 AI 发现了一个存在长达一年多的重大安全漏洞。这个漏洞也引发了奶爸对于 AI 的焦虑。
这个报告对我的冲击很大,原本以为坚不可摧的东西瞬间崩塌,安全就在身边。可以说现在所有的开源项目不再安全,就算本体暂时安全还有供应链上随时也可能出问题,做智能合约的人都知道 OpenZeppelin,他们联创在让家人都逃离 DeFi,在 AI 安全威胁下,没有什么是绝对安全的,只能寄希望于现实世界的 Real Power。
哪吒 MCP
博客文章的后半部分,奶爸分享了如何开启哪吒自带的 MCP 服务,如何创建 API,让 Openclaw 等 agents 辅助检查漏洞。
我把文章扔给自己的 Openclaw,只是一句话,它就给我创建了 API,然后查完了所有14台小鸡,告诉我没有被攻破的痕迹。可是我的原始命令里面,只是让它先读读文章,然后和我一起来做这件事,我的意思是, API 也要我自己来创建,可这家伙因为有我装有哪吒面板的服务器的 SSH key,未经允许就自己操作了。这次的互动,也给了我冲击,防止小鸡被攻破是一回事,这些 AI agents 要是被攻破,或是模型提供商想干点什么,我们这些用户也是在劫难逃。
奶爸的博客
第一次读奶爸的博客,觉得他的看法很能代表当下程序员这个岌岌可危的群体,他也丝毫不避讳自己面对的威胁和感到的彷徨。
我在 Reader 里添加了他博客的 RSS feed,读完最近五篇博客。他更新不勤,博客读起来很流畅,推荐你也订阅一下。