HN 瞎聊・GitHub 大泄漏与 Anna」s Archive 法律风暴
About This Episode
本期冲击两大热点:GitHub 内部仓库被窃,引爆供应链安全争论;Anna」s Archive 获 1950 万美元判决,点燃数字所有权与 AI 训练数据的伦理风暴。技术细节、法律角力、社区情绪一次掌握。
Chapters
Links
小雅: 老冯,你他妈的又在楼上折腾什么呢?这大半夜的,我这边咖啡都凉了,你那边跟拆房子似的。
老冯: 哟,小雅,你这耳朵还挺灵啊。别提了,楼上那孙子不知道又在搞什么「智能家居改造」,非得凌晨三点钻墙,我这服务器风扇刚换好,他那边电钻又响了。
小雅: 得了吧,你那服务器比我家猫还娇气。不过说到泄漏,我刚刷到两条新闻,简直是今年互联网的「双响炮」——GitHub 又被爆大规模代码泄漏,Anna's Archive 那边又被出版社告上法庭了。
老冯: 嚯,你这消息够灵通的。我刚还在琢磨这雨声怎么跟我硬盘的读写声一个节奏,结果你这边直接给我整两个重磅炸弹。GitHub 那事儿我瞅了一眼,据说有几百万个私有仓库被爬虫扒了个底朝天,连企业内部的脏代码都给晒出来了。
小雅: 可不是嘛,评论区有个哥们说,「这下好了,全世界的程序员都能看到大厂的锅是怎么背的了」。不过 Anna's Archive 那边更有意思,出版社这次是铁了心要赶尽杀绝,连「合理使用」的边都不让碰。
老冯: 合理使用?得了吧,资本家的「合理」就是「只要我赚不到钱,你就别想碰」。不过话说回来,Anna's Archive 这帮人也是够硬气的,明知道会被告,还非得把知识扔到公海上。
小雅: 硬气个屁,人家那是「宁可站着死,不愿跪着生」。不过今天咱们就好好聊聊这两件事儿 ——GitHub 泄漏背后的技术黑洞,还有 Anna's Archive 这场法律风暴到底会怎么收场。
老冯: 行吧,反正我这咖啡也凉了,正好陪你扯扯淡。不过先说好,待会儿聊到 GitHub 的时候,你可别又给我整那些「AI 赋能」的虚头巴脑的玩意儿。
小雅: 切,你就等着听我怎么用 AI 解决这堆破事儿吧。不过先说好,待会儿要是聊到出版社,你可别又开始「资本家都是吸血鬼」那套老调重弹。
老冯: 哈哈,那咱们就看看谁先破功。来,开麦!
老冯: 哎哟,小雅,你这手上的油印子还没擦干净呢,就急着跟我聊 GitHub 又出幺蛾子了?
小雅: 老冯你少废话!GitHub 这次可不是幺蛾子,人家直接被人把 3800 个内部仓库打包带走了,公告还他妈写得跟年度报告似的。
老冯: 嚯,3800 个?那可比我家里的硬盘还热闹。不过他们公告里那句「directionally consistent」是啥意思?听起来像是股市分析师在忽悠散户。
小雅: 哈,你也注意到了!评论区有个哥们说得好:「这不是 damage control,这是 linguistic arson」,直接给 GitHub 的公关团队判了死刑。
老冯: 行吧,公关黑话咱们先放一边。泄露的文件单子可有意思了,「law-enforcement-front-door」?「secret-scanning-password-detection」?这听着可不像是内部 DEI 小组的玩意儿。
小雅: 对啊!还有「muslims-of-github.tar.gz」,GitHub 解释说是员工亲和小组的资料,但谁知道呢?万一真被执法部门拿去做啥见不得人的事儿呢?
老冯: 得了吧,你这想象力比好莱坞编剧还丰富。不过话说回来,GitHub 这平台本身就不安全,Actions 那玩意儿谁用谁知道,一堆第三方插件跟定时炸弹似的。
小雅: 可不是嘛!这次攻击链条估计又是 Actions 或者 VSCode 插件搞的鬼。评论区有人吐槽说:「GitHub 这生态就是 insecure-by-design,还好意思卖企业版?」
老冯: 哎,说到企业版,我就想笑。人家泄露的可是「内部仓库」,结果公告还强调「用户数据安全无虞」。合着你家厨房烧了,你跟客人说「放心,客厅没事儿」?
小雅: 哈哈,这个比喻绝了!不过说真的,这次事件暴露出 CI / CD 管道的脆弱性。有人提议用 zizmor 或者 Socket 来加固,还有人说干脆禁用自动更新。
老冯: 禁用自动更新?那不得了,开发者得哭死。不过话说回来,GitHub 这几年是越来越飘了,从微软收购后就开始走下坡路,现在连内部安全都搞不定。
小雅: 可不是!我记得之前有个大佬吐槽说:「GitHub 现在就是个臃肿的社交网络,代码托管反而成了副业」。这次泄露估计又得让一波人迁移到 GitLab 或者自建 Gitea 了。
老冯: 迁移?你想多了。大部分开发者懒得跟狗似的,GitHub 就是他们的舒适区。不过这次事件倒是给大家提了个醒:别把鸡蛋放在一个篮子里,尤其是这个篮子还漏洞百出。
小雅: 嗯,说到漏洞,我就想起 GitHub 的 secret scanning 功能。结果这次泄露的文件里偏偏有「secret-scanning-password-detection」,这不是讽刺吗?
老冯: 哈哈,这可太魔幻了。GitHub 自己都保护不了自己的秘密,还好意思给别人扫描漏洞。不过话说回来,这事儿也给咱们敲了个警钟:别太依赖大厂的安全工具。
小雅: 对!自己动手,丰衣足食。我最近就在研究怎么用 zizmor 加固自家的 CI 管道,虽然麻烦点,但至少心里踏实。
老冯: 哟,小雅你还真上心啊。不过话说回来,GitHub 这次公告的态度也让人寒心。明明是大规模泄露,非得说「directionally consistent」,生怕吓着股东。
小雅: 可不是!这年头大厂的公关团队比技术团队还忙。不过咱们也别光吐槽,这次事件也算是给整个行业提了个醒:安全不是口号,得落到实处。
老冯: 嗯,说得在理。不过咱们也别太悲观,至少这次泄露让大家看清了 GitHub 的真面目。希望以后别再有「law-enforcement-front-door」这种玩意儿出现在泄露清单上了。
小雅: 哈哈,老冯你这话说得,我举双手赞成!不过话说回来,咱们这期节目标题是不是得改改?「GitHub 大泄漏与 Anna」s Archive 法律风暴」,听着就刺激。
老冯: 行行行,标题你定。不过咱们聊了这么久,我手都酸了,你那咖啡还能续杯不?
小雅: 滚蛋!自己去倒!不过说真的,这事儿咱们得持续关注,GitHub 后续肯定还得有公告,到时候再扒一扒。
老冯: 得嘞,那咱们就等着看 GitHub 怎么自圆其说。不过话说回来,这雨下得还挺应景的,跟咱们这期的氛围简直绝配。
小雅: 哈哈,可不是嘛!这雨声跟 GitHub 的公告一样,听着挺美,实际一肚子坑。行了,不扯了,我得去擦擦手,顺便看看有没有新爆料。
小雅: 欸,老冯,你刷到 GitHub 那个公告了吗?凌晨三点发的,我他妈差点从椅子上跳起来。
老冯: 哟,这帮孙子终于承认了?我还以为他们得捂到明年呢。
小雅: 什么承认啊,简直是文字游戏大赛。说什么「directionally consistent」,我靠,这不就是「我们可能被黑了但不想承认」的官腔翻译吗?
老冯: 哈哈,directionally consistent,听起来像是股票分析师在忽悠散户。「我们的业绩方向一致,但具体方向是向上还是向下,请自行脑补。」
小雅: 3800 个内部 repo 被偷了,他们还好意思说「only」。only 你妈啊,里面有「law-enforcement-front-door」这种文件名,你敢说这不是重大事故?
老冯: 哦哟,law-enforcement-front-door,这名字一听就知道是给 FBI 留的后门。GitHub 这帮人,一边高喊「开源透明」,一边偷偷搞监控工具,真他妈讽刺。
小雅: 还有「secret-scanning-password-detection」,这不就是他们吹嘘的安全功能吗?结果自己内部用的密码扫描工具都被偷了,笑死。
老冯: 评论区有个哥们说得好,「这火只烧了厨房,没烧到整个房子」。人家 GitHub 还挺委屈,就好像厨房着火不是大事儿似的。
小雅: 还有那个「muslims-of-github.tar.gz」,我一开始还以为是员工监控呢,结果他们说是 DEI 小组。行吧,我信你个鬼。
老冯: DEI 小组?这名字取得跟监控名单似的。GitHub 这帮人,平时不注重安全,出事了就拿 DEI 当挡箭牌。
小雅: 最气人的是,他们到现在都没说清楚攻击手法。我猜就是 Actions 平台的锅,又是那个「不安全设计」的老问题。
老冯: Actions 平台?那玩意儿就是个定时炸弹。每次 CI / CD 出问题,都是 Actions 惹的祸。GitHub 自己都不安全,还好意思卖安全服务。
小雅: 对啊,还有 VSCode 的扩展生态,简直是供应链攻击的温床。我现在写代码都不敢随便装插件了。
老冯: 所以啊,现在大家都在说要用 zizmor、Socket 这种工具来加固 CI / CD 管道。还有人建议禁用自动更新,防止供应链攻击。
小雅: 禁用自动更新?那不得每天手动检查一遍?累死个人。不过为了安全,也只能这么搞了。
老冯: 说到底,还是 GitHub 自己作的。平时不注重安全,出事了就打官腔,真他妈恶心。
小雅: 可不是嘛,这帮人就知道吹牛逼,真到关键时刻就怂了。我现在都不敢把重要项目放 GitHub 上了。
老冯: 换 GitLab 吧,虽然也有问题,但至少不这么虚伪。
小雅: 行,回头我把代码都迁走。GitHub 这波操作,真的是把开发者的信任给彻底玩没了。
老冯: 信任?GitHub 从来就没在乎过开发者的信任。他们只在乎自家股价和微软的脸面。
老冯: 哎,小雅,你刷到 GitHub 这条推了吗?凌晨三点发的,说自己内部仓库被人薅了 3800 个。
小雅: 看到了!还他妈「directionally consistent」呢,这帮公关是真敢写。我读完第一句就想把手机扔了。
老冯: 哈哈,这词儿绝了,我寻思这不就是「我们被偷了,但方向还行」的意思吗?
小雅: 对对对!评论区有个大哥说得好:「这不是 damage control,这是 linguistic arson」,烧得我清醒。
老冯: 泄露的文件单子也够劲儿,什么「law-enforcement-front-door」,「secret-scanning-password-detection」,这不摆明了告诉黑客「来这儿薅羊毛」吗?
小雅: 还有那个「muslims-of-github.tar.gz」,我第一眼以为是监控名单,结果人家说是 DEI 小组。
老冯: DEI 小组?这名字起的,谁看了不多想啊。GitHub 这波操作,简直是给阴谋论者送弹药。
小雅: 最绝的是,他们还在强调「只泄露了内部仓库」。老冯,你家厨房着火了,你跟邻居说「放心,只烧了厨房,客厅没事」?
老冯: 哈哈哈,这比喻绝了。不过说真的,这事儿暴露出 GitHub Actions 和 VSCode 插件生态的安全隐患。
小雅: 可不是嘛,CI / CD 管道不加固,早晚出事。现在都有人推荐用 zizmor、Socket 这种工具来防供应链攻击了。
老冯: 哎,说到供应链攻击,我突然想起前阵子 Anna's Archive 的事儿,他们被出版社告得满地找牙。
小雅: 哎呦,老冯你又跑题!不过说到这儿,我还真好奇 Anna's Archive 那帮人现在咋样了。
老冯: 哈哈,这不正好聊聊吗?反正 GitHub 这事儿也够闹心的,换个话题缓缓。
小雅: 行吧,但你别又扯到你那台老服务器上,我手上的螺丝油还没擦干净呢。
老冯: 放心,今晚不聊硬件,就聊聊这些「数字罗宾汉」的命运。
老冯: 欸,小雅,你昨晚刷到 Anna」s Archive 的新闻了吗?1950 万美金的 default judgment,外加全球域名下架令。
小雅: 看到了!这帮出版社真他妈不要脸,又是一波 default judgment 碾压。
老冯: 嘿,别急着骂街,先看看细节。Penguin Random House、Elsevier 这帮大佬,告 Anna」s Archive 不光是盗版书,还给 Meta、NVIDIA 这些 AI 公司当训练数据源。
小雅: 对啊!AI 公司用了数据反而没事,Anna」s Archive 就成了替罪羊?这不公平!
老冯: 公平?法律从来不是讲公平的,讲的是谁有钱请律师。评论区有个哥们说得好:你没钱没名没姓,出庭就是送死。
小雅: 操,这不就是赤裸裸的金钱审判吗?130 本书,每本 15 万美金,1950 万直接砸脸上。
老冯: 而且这钱他们根本拿不到。Anna」s Archive 的运营者连名字都藏着,法官还要求他们 10 天内自首,这不是逗乐吗?
小雅: 逗乐?这帮出版社真正的目的是杀鸡儆猴。你看那 injunction,直接点名 Cloudflare、Njalla、DDOS-Guard,连格陵兰的 .gl 域名注册局都不放过。
老冯: 对,这才是重点。他们不光要 Anna」s Archive 的命,还要控制整个互联网基础设施。ICANN、DNS,全球域名系统都成了美国法律的打手。
小雅: 这他妈就是数字殖民主义!美国法院一纸命令,全世界的域名注册商都得乖乖听话?
老冯: 可不嘛。不过也别太悲观,历史证明,这种一刀切的禁令从来没真正奏效过。Anna」s Archive 早就准备了 backup domains,随时可以换马甲。
小雅: 但这背后的逻辑太恶心了。出版社说数字许可模式是未来,可这哪是许可啊,这是租借!图书馆买了电子书,说不定哪天就被出版社收回去了。
老冯: 对,这才是核心矛盾。知识的所有权和访问权,被资本和法律双重绑架。AI 时代更夸张,AI 公司用盗版数据训练模型,反而成了香饽饽。
小雅: 所以我们才需要去中心化的图书馆!IPFS、Dat、Scuttlebutt,这些才是真正的抗审查工具。
老冯: 但你别忘了,去中心化也有代价。速度慢、门槛高,普通人根本玩不转。Anna」s Archive 这种集中式的影子图书馆,反而更接地气。
小雅: 所以我们需要两条腿走路!一边推动去中心化技术,一边保护像 Anna」s Archive 这样的公共资源。
老冯: 问题是,法律和资本不会给你两条腿走路的机会。你看 Spotify 那案子,3.22 亿美金的判决,最后还不是不了了之?
小雅: 所以我们更要发声!评论区不是有人说了吗?「如果你不是超级富豪,出庭就是愚蠢」。这他妈就是现实。
老冯: 发声有用吗?你看这帮出版社,连 Google 的电子书广告都要封杀,说是防止盗版,实际是打压竞争。
小雅: 所以我们才要更聪明地反抗!个人数字存档、去中心化网络、加密技术,这些才是真正的武器。
老冯: 行了行了,别激动了。咖啡都凉了,你这愤青劲儿上来,我都拦不住。
小雅: 切,你不也是个老愤青?别装了。不过话说回来,这事儿确实让人清醒。数字时代的知识自由,比我们想象的更脆弱。
老冯: 脆弱归脆弱,但也别太悲观。互联网的韧性比资本想象的强。Anna」s Archive 倒下了,还会有 Anna」s Archive 2.0、3.0。
小雅: 对,只要有需求,就有供给。不过下次他们得学聪明点,别再被 default judgment 碾压了。
老冯: 学聪明?那得先有钱请律师。不然,下一个倒霉的就是你我这样的小人物。
小雅: 卧槽,老冯,你刷到 Anna」s Archive 的新闻了吗?这帮出版社刚刚拿到了 1950 万美金的默认判决,还要求全球域名下架。
老冯: 嘿,我刚刚在看,这帮孙子真的是得寸进尺。1950 万,还不是因为 Anna」s Archive 的运营者没钱请律师露面?
小雅: 对啊!评论区有个哥们说得好:「Justice should not depend on whether the aggrieved appears in court.」 你没钱打官司,就活该被判死刑?
老冯: 这不就是赤裸裸的金钱战争吗?出版社一看对方没钱,直接一波流拿下判决,顺便把 Cloudflare、Njalla 这些中间商都给点了名。
小雅: 而且这帮出版社还阴阳怪气地说 Anna」s Archive 是 AI 公司的训练数据源,Meta、NVIDIA 这些巨头躺着赚钱,结果背锅的却是个小小的影子图书馆。
老冯: 哈哈,这帮资本家的逻辑真他妈清奇。自己不舍得花钱买数据,又不敢直接告 AI 公司,只能拿个没钱的替罪羊开刀。
小雅: 还有更绝的,法官还要求 Anna」s Archive 的运营者在 10 天内公开身份,交出联系方式。这不是逼人家去坐牢吗?
老冯: 人家早就说了,藏着身份就是为了避免几十年的牢饭。这帮法官真的是站着说话不腰疼。
小雅: 不过话说回来,这事儿也暴露了数字版权的一个大问题:我们买的电子书、音乐,其实都不是真正属于我们的。
老冯: 对啊,都是临时许可,说收回就收回。出版社随时可以让你的书架变成空气。
小雅: 所以评论区才有人说,要自己搞数字存档,搞去中心化的图书馆。不然早晚有一天,我们连看书的自由都没了。
老冯: 这不就是美国法律帝国主义吗?通过 ICANN 和 DNS 控制全球域名,想封谁就封谁。
小雅: 而且这帮出版社还点了 TELE Greenland、PKNIC 这些国外的域名注册商,逼人家配合。这不是赤裸裸的霸权吗?
老冯: 不过话说回来,Anna」s Archive 肯定有备用域名,这帮出版社也就是过过嘴瘾。
小雅: 对啊,现在 Anna」s Archive 的域名还活着呢。这帮出版社拿到判决书又怎么样?还不是白忙活一场。
老冯: 说到底,这事儿就是资本和技术的博弈。资本想控制一切,技术偏偏不让它如愿。
小雅: 所以啊,我们这些搞技术的,更得支持 Anna」s Archive 这种项目。不然早晚有一天,我们连知识都被资本垄断了。
老冯: 行了行了,别煽情了。赶紧把咖啡热热,继续刷新闻去。这帮出版社估计还得搞出更多幺蛾子。
小雅: 切,你就不能有点理想主义吗?非得这么油腻。
老冯: 理想主义?我这叫现实主义。资本家的套路你还没看够吗?
老冯: 哎,小雅,你听说 Anna」s Archive 这事儿了吗?1950 万美金的默认判决,外加全球域名下架令。
小雅: 卧槽,又是这帮出版社搞的幺蛾子?他们真把自己当互联网警察了?
老冯: 可不是嘛,Penguin Random House、Elsevier、HarperCollins 这帮大佬联手,告 Anna」s Archive 侵权还顺带告它给 Meta、NVIDIA 当 AI 训练数据源。
小雅: 操,这帮出版社真他妈双标。AI 公司用数据训练模型就没事,Anna」s Archive 提供免费书就成了罪犯?
老冯: 嘿,你别激动,这事儿还有更绝的。Anna」s Archive 压根没出庭,法官直接判了 1950 万,还要求运营者自曝身份。
小雅: 哈?这不就是「有钱人打官司,没钱人蹲大牢」的翻版吗?评论区有个哥们说得好:你没钱还敢露面,那不是找死吗?
老冯: 对喽,这哥们一针见血。美国法律这套玩意儿,就是为有钱人量身定做的。没钱?那你就等着被默认判决吧。
小雅: 不过话说回来,这帮出版社真够狠的,连 Cloudflare、Njalla 这些中间商都给列上了,还点名了格陵兰、巴基斯坦的域名注册商。
老冯: 这招叫「斩首行动」,直接断 Anna」s Archive 的后路。不过,外国公司未必买美国法院的账,比如俄罗斯的 DDOS-Guard 估计就当耳旁风。
小雅: 老冯,你说这事儿会不会逼得更多人去搞去中心化的数字图书馆?比如 IPFS 或者什么新玩意儿?
老冯: 那必须的,这帮出版社越搞,越多人会意识到「数字所有权」这事儿有多重要。现在的电子书,你买的不是书,是「临时许可证」。
小雅: 对啊!我买的 Kindle 书,亚马逊说下架就下架,连个招呼都不打。这他妈跟租书有什么区别?
老冯: 所以啊,Anna」s Archive 这事儿,表面上是版权之争,背后是「知识自由」和「数字主权」的大战。你说,咱们是不是该备份点书以防万一?
小雅: 早就备份了!我还用 Calibre 搞了个私人图书馆,连 OCR 都做好了。就等着哪天出版社把我告上法庭,我直接甩他们一脸「合理使用」!
老冯: 牛逼,你这觉悟比我高多了。不过话说回来,这事儿也提醒咱们,ICANN 这帮美国佬掌控着全球 DNS,说封谁就封谁,真他妈霸道。
小雅: 所以啊,咱们得支持那些不受美国法律管辖的域名注册商,比如 .ru、.ir 什么的。反正我是不信这帮出版社能封得住全世界。
老冯: 行了,你这愤青劲儿又上来了。不过话说回来,这事儿确实让人看清了一个道理:在数字时代,真正的自由得靠技术,不是法律。
小雅: 说得对!法律是为有钱人服务的,技术才是咱们穷人的武器。来,老冯,咱俩干了这杯咖啡,为 Anna」s Archive 默哀三秒钟。
小雅: 操,聊着聊着都快四点了,我这咖啡都凉透了,还他妈喝出了机油味。
老冯: 机油味好啊,这说明你的服务器还活着,比某些大厂的良心强。
小雅: 行了行了,今天算是见识到什么叫「数据泄露的艺术」了,GitHub 那帮人真能整。
老冯: 艺术?这叫「资本主义的免费午餐」,反正最后买单的都是用户。
小雅: 得了,不扯了,再扯下去天都亮了。想听下期继续扯淡的,记得用泛用型客户端订阅一下,别指望那些封闭平台给你推送。
老冯: 对对对,RSS 订阅一下,更新了就能收到,不用等那些算法给你喂屎。
小雅: 行了,我得去睡会儿,明天还得上班呢。老冯你也别熬太晚,小心猝死。
老冯: 猝死?我这身体,猝死都得排队。下期见,有空再聊。
小雅: 下期见,记得别又跑题到上世纪的技术。