HN 瞎聊・今晚的硬核炸弹:从砍掉的战机到代码签名的暗流
About This Episode
本期我们把美国高空战机被击落的震撼、OpenClaw 争议漏洞、Axios 供应链被劫持以及 SSH 证书的终极对决全搬上桌,从技术细节到背后的供应链脆弱,直击每一个让人血脉喷张的要点。
Chapters
Links
小雅: 老冯,你听这雨下的,跟楼上漏水似的。咱这机房的灯怎么又开始闪了,不会又是电源线老化了吧?
老冯: 闪就闪呗,反正咱俩录音也不靠这灯照明。倒是你手里那根网线,别又是哪个倒霉催的硬件要被你折腾坏了。
小雅: 切,你懂什么?这叫效率至上。今晚咱得把节目录完,明天还得赶着发布。对了,你那边咖啡喝完了没?我这儿刚煮了一壶浓缩,够你提神的。
老冯: 得了吧,你那咖啡跟毒药似的。不过今晚话题倒是够劲爆的,听说最近有个大新闻,某国直接把战机项目给砍了,理由是「技术过时」。
小雅: 可不是嘛,这年头连军工项目都开始内卷了。不过咱今天不光聊这个,还有更硬核的 —— 你听说过最近代码签名的那些破事儿吗?
老冯: 哦,你是说那个供应链攻击的事儿?有人趁机在签名证书里动了手脚,搞得一堆开发者中招。这年头,连签名都不安全了。
小雅: 对啊,这背后的暗流可不简单。今晚咱就来聊聊这些「硬核炸弹」,从砍掉的战机到代码签名的猫腻,看看这帮人是怎么玩的。
老冯: 行吧,反正今晚也睡不着。不过小雅,你可别又给我整那些没边的技术细节,我这老脑瓜受不了。
小雅: 放心,咱今天不整那些晦涩的,就聊聊这些事儿背后的逻辑和套路。保证你听完后,连你那破笔记本都能看懂。
老冯: 诶,小雅,你刷到今天这条新闻没?F - 15E 被伊朗干下来了,还是在美军已经压制了好几周防空之后。
小雅: 卧槽,我刚看到!这他妈不是打脸吗?美军不是号称空中无敌吗?结果连个 F - 15E 都保不住。
老冯: 别急着骂,这事儿比你想的严重。评论区有个哥们说,CENTCOM 现在基本瞎了,THAAD 雷达和预警雷达全被端了。
小雅: 瞎了?什么意思?
老冯: 意思就是早期预警系统全废了,损失几十亿美金。以色列那边 Iron Dome 的预警时间直接从 10 分钟砍到 1 分钟。
小雅: 我靠,这不就是裸奔吗?那伊朗用的什么招?
老冯: 低成本无人机,Shahed 那种,一波一波地消耗拦截弹。一枚拦截弹 300 万美金,人家一架无人机才多少钱?
小雅: 这不就是降维打击吗?美军这帮傻逼还在吹什么高科技,结果被人家用游击战术给玩残了。
老冯: 别急,还有更绝的。评论区那个 bijowo1676 说,美军现在连修都修不了,稀土全被中国卡脖子了。
小雅: 我操,这不是供应链灾难吗?政府还他妈装聋作哑,媒体也不敢深挖。
老冯: 可不是嘛,ericd 还怀疑 bijowo1676 是个水军账号,但他说的这些细节又太他妈真实了。
小雅: 这帮大爷真是会甩锅,战术失败了就怪供应链,供应链有问题就怪中国,中国不爽就怪媒体不配合。
老冯: 你别说,这事儿还真能联想到咱们技术圈。美军这不就是典型的「技术债」爆雷吗?
小雅: 什么意思?
老冯: 你看,美军一直吹嘘自己的高科技,但底层供应链早就烂透了。就像有些公司,表面上用最新框架,结果底层还是 20 年前的破代码。
小雅: 卧槽,还真他妈像!我上周还吐槽过,某大厂的核心系统还是用的 COBOL,结果还吹自己是「云原生」。
老冯: 对啊,美军这事儿就是「军事版技术债」。表面上光鲜亮丽,结果一打仗,全是破绽。
小雅: 那伊朗这波操作简直就是「开源武器」的胜利啊!低成本、高效率,直接把美军的高科技打成了笑话。
老冯: 可不是嘛,这让我想起了咱们之前聊的「边缘计算」。有时候,简单粗暴的方案反而比复杂系统更有效。
小雅: 对对对!就像有些项目,非要上 Kubernetes,结果搞得一团糟,还不如直接用个脚本跑定时任务。
老冯: 哈哈,你这比喻绝了。美军这事儿就是「过度工程」的军事版。非要搞什么 THAAD、AN/FPS-132,结果被人家几架无人机给端了。
小雅: 那你说,这事儿会不会影响到咱们技术圈?比如,以后大家会不会更重视「供应链安全」?
老冯: 早该重视了!你看现在多少公司依赖中国的稀土、东南亚的代工,一旦出事儿,全他妈抓瞎。
小雅: 那你觉得,咱们技术圈会不会也出现「军事级」的供应链崩溃?比如,某个关键库被断供?
老冯: 早晚的事儿。你看现在 NPM、PyPI 里的垃圾库那么多,万一哪天有个「左翼」库被下架,多少项目直接趴窝。
小雅: 我靠,这不就是「代码版稀土禁运」吗?到时候咱们是不是也得学伊朗,搞点「低成本」的替代方案?
老冯: 哈哈,你这脑洞够大的。不过说真的,这事儿提醒咱们,技术不能光看表面,底层的东西才是关键。
小雅: 卧槽,老冯,你刷到这个 OpenClaw 的 CVE-2026-33579 了吗?这玩意儿简直是今晚的硬核炸弹。
老冯: 哟,小雅你今儿火气不小啊。不就是个权限提升漏洞嘛,又不是核弹。
小雅: 你懂个屁!这个漏洞在 /pair approve 路径里,连 scope 都不验证,pairing 权限的用户直接能批 admin 权限的请求!
老冯: 嗯,CVSS 8.1,确实不低。但 steipete 不是说了吗,得有授权访问权限才能利用,单用户场景风险不大。
小雅: 呸!Reddit 那个帖子说有 13.5 万公开暴露实例,63% 无认证!你管这叫「风险不大」?
老冯: 那个帖子不是被删了吗?DrewADesign 都阴阳怪气了,「Well the post was removed so it doesn」t lend a lot of support to their claims」。
小雅: 删了就代表没问题了?评论区还有人说命令示例都是错的,可能是 AI 瞎编的!
老冯: 所以这不就是「狼来了」效应吗?nickthegreek 和 earnesti 都在质疑数据来源,你还真信?
小雅: 但 CVE 本身是真的啊!零认证下的权限提升,DrewADesign 说得对,「危言耸听」总比忽视风险强!
老冯: 哟,你现在开始站 DrewADesign 那边了?那帮大厂背书的家伙,Nvidia、ByteDance、Tencent,你真信他们是为了安全?
小雅: 我信的是漏洞本身!你别扯什么大厂阴谋论,这跟 hype 有个屁关系!
老冯: 行行行,你激动啥。不就是个 patch 吗,e403decb6 都出来了,赶紧升级不就完了?
小雅: 升级?你以为所有人都跟你一样闲,天天盯着 GitHub 提交记录?
老冯: 嘿,我这不是给你科普呢吗。再说了,这漏洞得有 pairing 权限才能利用,你家 OpenClaw 助手没事儿给陌生人配对?
小雅: 你懂个锤子!万一有人钓鱼呢?或者内部人员作恶?你以为所有人都像你一样谨慎?
老冯: 得得得,我谨慎我骄傲。反正这事儿吧,数据真假咱不清楚,但漏洞是真,升级是必须。
小雅: 这不就结了!早说不就完了,非得跟我抬杠。
老冯: 我这不是活跃气氛嘛。不过话说回来,这事儿确实挺典型的 —— 安全圈永远不缺「狼来了」和「忽视风险」的撕逼。
小雅: 行了行了,别跑题。下次再有这种漏洞,你可别跟我扯什么「单用户场景风险不大」,直接说「赶紧升级」得了。
老冯: 遵命,小雅大人。不过你也别太激动,小心咖啡洒了,这机房可经不起你折腾。
小雅: 卧槽,老冯,你刷到 axios 这个事儿了吗?3 小时内,两个恶意版本直接上了 npm,10 万星的项目啊!
老冯: 嗯,看了。维护者自己都发 post-mortem 了,还挺透明的。不过这事儿吧,不光是 axios 的锅,npm 这基建也太拉胯了。
小雅: 对对对!评论区有个哥们说得好:「Go setup some smartcards for signing git push / commit and publish those keys widely...」 这不就是在说维护者连基本卫生都没做吗?
老冯: 嘿,话不能这么说。人家维护者也说了,攻击者是通过 RAT 拿到了 npm 账号,git 签名根本拦不住。npm 连强制 2FA 都没全面推行,还好意思怪人家?
小雅: 但 npm 不是说大包都强制 2FA 了吗?怎么还能被 RAT 绕过去?这不扯淡吗?
老冯: 评论区有人问了:维护者到底有没有开 2FA?npm 官方没给出明确答复。但你想啊,RAT 直接在机器上偷 session cookie,2FA 也白搭。
小雅: 那这事儿到底谁背锅?维护者?npm?还是整个生态的文化问题?
老冯: 三七开吧。维护者确实有责任,没做好设备安全,但 npm 更该背大头。你瞅瞅这几年,哪个大包没被供应链攻击过?
小雅: 对!还有人说根源是 Apple 不支持安全的 OS 级包管理,逼得 macOS 用户只能 「curl | sh」。这不就是在说整个生态都在纵容不安全行为吗?
老冯: 哈哈,这锅甩得好。不过说实话,「curl | sh」 这习惯确实该改了。但你让开发者不用 npm,用啥?总不能都去用 Go 的模块系统吧?
小雅: 那维护者现在咋整的?post-mortem 里说要上 OIDC 和不可变发布流程,这能解决问题吗?
老冯: 理论上能,但治标不治本。OIDC 只能防止账号被盗,但攻击者要是直接在 CI 里下毒呢?npm 连 provenance attestation 都没强制要求。
小雅: 对啊!评论区有个大佬说,合法版本都有 provenance attestation,恶意版本一眼就能看出来。但谁他妈会去检查这个啊?
老冯: 所以啊,这事儿暴露的核心问题就是:npm 这个基础设施太不透明了。你装个包,根本不知道它经过了多少双手。
小雅: 那你说,npm 要是真想解决问题,该咋整?强制所有大包用 hardware key 签名?
老冯: 光签名没用,还得有自动化检查。比如每次发布都强制走 CI,CI 里自动验证签名和 provenance。但 npm 现在连这都不做。
小雅: 那维护者个人能做啥?除了重装系统和换密码,还有啥实际措施?
老冯: 最关键的是别在本地发布包。用不可变的 CI 流程,每次发布都走 GitHub Actions,用 OIDC 认证。这样就算账号被盗,攻击者也发不了包。
小雅: 但这不还是治标吗?根本问题还是 npm 的安全模型太弱了。
老冯: 对,但维护者能做的就这么多。npm 不改,生态不改,这事儿还会再发生。你瞅瞅这几年,哪个大包没被攻击过?
小雅: 所以结论就是:npm 这基建已经烂透了,但我们还得用,因为没得选?
老冯: 差不多吧。不过话说回来,这事儿也给开源社区提了个醒:不能光靠维护者的自觉,得有制度性的保障。
小雅: 行吧,那咱们今晚就给听众总结一下:axios 这事儿,锅不光是维护者的,npm 和整个生态都有责任。但维护者能做的,就是尽快上 OIDC 和不可变发布流程。
老冯: 对,还有就是别再 「curl | sh」 了,能用包管理器就用包管理器。实在不行,至少验证一下 checksum 吧。
小雅: 嗯,最后再吐槽一句:npm 要是再不改进,迟早还得出大事儿。
老冯: 欸,小雅,今晚咱们聊点硬核的啊。这不有个哥们写了篇文章,说 SSH 证书才是王道,传统密钥管理简直就是个坑。
小雅: 哦?又是哪个大佬在吹牛逼?我就烦这些人,动不动就「革命性改变」,结果一用全是坑。
老冯: 嘿,别急嘛。这哥们叫 Jan-Piet Mens,文章里说 SSH 证书通过 CA 统一管理,短期授权,不用手动分发公钥。
小雅: 哟,听起来挺美的。那传统密钥呢?就这么被抛弃了?
老冯: 传统密钥在小团队或者脚本里还行,但一到大规模环境,就容易出现「万能密钥」的问题。
小雅: 我靠,这不就是「一把钥匙开天下」的老毛病吗?大厂最爱干这事儿。
老冯: 可不是嘛。评论区有个哥们说,「SSH 证书又回到了「钥匙在国王手里」的反模式」,结果被人怼得体无完肤。
小雅: 哈哈,这不就是典型的「你根本不懂 CA 安全模型」吗?我最喜欢看这种撕逼了。
老冯: 不过啊,SSH 证书也不是万能的。OpenSSH 生态外支持有限,比如 Dropbear、嵌入式设备、Java SSH 库,都可能不兼容。
小雅: 嵌入式设备?我去,这帮人真敢想。我上次在路由器上搞个 SSH 都差点把设备搞废了。
老冯: 还有啊,HSM、Yubikey 这些硬件级安全方案,虽然安全,但基础设施搭建起来又是一笔钱。
小雅: 得了吧,大厂才不在乎这点钱。他们就喜欢堆砌复杂度,然后让我们这些开发者买单。
老冯: 不过文章里提到的 `AuthorizedKeysCommand` 倒是个折中方案,动态授权,不用搞 CA 工作流。
小雅: 这个我喜欢!简单直接,不整那些花里胡哨的。
老冯: 但你别忘了,TOFU(Trust on First Use)的问题依然存在。第一次连接还是得「交叉手指」祈祷一下。
小雅: 靠,这不就是「闭眼点确认」的现实版吗?我每次都想骂人。
老冯: 而且啊,如果服务器重装了,host key 变了,你的 `known_hosts` 就得手动删掉重新确认。
小雅: 我去,这简直就是「技术债务」的典范。每次遇到这种情况,我都想把服务器砸了。
老冯: 哈哈,你这脾气。不过话说回来,SSH 证书确实解决了不少大规模环境的痛点。
小雅: 切,大规模环境?我就想问问,有多少公司真正用上了?还不是「看起来很美」的理论?
小雅: 卧槽,老冯,你刷到今天这两个大新闻了吗?一个是美军 F - 15E 在伊朗上空被干下来了,另一个是 axios 的 npm 包被供应链攻击,直接给全世界的开发者塞了个 RAT。
老冯: 嗯,看到了,这俩新闻简直就是今晚的硬核炸弹。一个是硬件被打爆,一个是软件被玩烂,都是大规模的失败案例。
小雅: F - 15E 那事儿太离谱了,美军不是号称空中优势无敌吗?结果被伊朗一顿操作,THAAD 雷达、预警雷达全给干掉,CENTCOM 直接致盲。
老冯: 可不是嘛,评论区有个哥们说得好,CENTCOM 不光致盲,损失还高达几十亿美金,修都没法修,因为稀土全被中国卡脖子了。
小雅: 这不就是典型的战略误判吗?以为自己技术牛逼,结果被低成本无人机加集群攻击给打穿了。Iron Dome 都靠美军雷达撑着,雷达一没,以色列警报时间直接从 10 分钟缩到 1 分钟。
老冯: 美军这波啊,就是被自己吹的牛逼给坑了。以为压制了伊朗防空,结果人家直接端了你的眼睛。这下好了,全世界都看笑话。
小雅: 再看 axios 这事儿,简直就是开源维护者的噩梦。维护者被钓鱼,npm 账号被盗,直接发了两个恶意版本,3 小时内不知道多少人中招。
老冯: 评论区有人直接说「受害者有罪论」,说 axios 团队连基本的安全卫生都没做好。git 签名、硬件密钥、OIDC 发布流程,这些都是标配,结果人家压根没用。
小雅: 但也有反驳的,说 npm 才是罪魁祸首,连强制 2FA 和签名都不搞,还让维护者用个人账号发布高风险包。
老冯: 这事儿吧,就是典型的「curl | sh」文化害人。大家都图方便,结果被社会工程学钓得明明白白。Apple 连个安全的包管理都不支持,macOS 用户只能硬着头皮用不安全的脚本。
小雅: 不过话说回来,这俩新闻都暴露了一个问题:大规模系统的脆弱性。无论是军事体系还是开源生态,只要有一个环节出问题,整个系统就崩了。
老冯: 对啊,美军的雷达被端,开源的包被污染,都是因为过度依赖单一节点。CENTCOM 靠几个雷达撑着,axios 靠一个维护者撑着,这不崩才怪。
小雅: 说到这儿,我突然想到 SSH 证书那篇文章。用 CA 签发短期证书,避免手动分发公钥,其实也是在解决这种单点依赖的问题。
老冯: 嗯,SSH 证书确实是个好东西,但也不是万能的。小团队用传统密钥可能更简单,大公司用证书可能更安全。不过说到底,还是得看你能不能管得住。
小雅: 反正啊,今天这俩新闻给我整的,感觉什么系统都不靠谱。军事、开源、基础设施,全他妈的脆皮。
老冯: 别那么悲观嘛,脆皮归脆皮,但总有人在想办法解决问题。比如 axios 现在不是开始改进安全流程了吗?美军估计也得重新审视自己的战略。
小雅: 行吧,希望他们真能吸取教训。不过我估计啊,过不了多久又会有新的脆皮新闻冒出来。
老冯: 哈哈,那咱们就等着看下一集「HN 瞎聊」吧。
小雅: 操,聊到现在脑子都快炸了,从战机砍单扯到代码签名,这期节目简直是硬核炸弹现场版。
老冯: 嘿,你这咖啡都喝了三杯了,还不如我这根网线提神。不过话说回来,今天这期够劲儿,够硬核。
小雅: 硬核个屁,我现在满脑子都是那些大厂的破事儿,真想把他们的代码签名证书全给撕了。
老冯: 得了得了,别撕了,你撕了他们明天就换个新的。反正咱们也聊得差不多了,雨都快停了。
小雅: 行吧,那今天就到这里。不过老规矩,想听下期的,别忘了用泛用型客户端订阅一下,别去那些封闭平台找不痛快。
老冯: 对对对,RSS 订阅一下,更新了就能第一时间收到。反正咱们也不会给那些平台交保护费。
小雅: 切,保护费?他们还不配。行了,下期见,有空再聊。
老冯: 下期继续扯,说不定下回咱们能聊聊 AI 怎么把咱俩的工作给抢了。
小雅: 滚蛋,你个乌鸦嘴。走了走了,关机睡觉。
老冯: 得嘞,晚安,各位。