@Matrix5913 开源只解决了社区内大家一起协同合作开发的问题。如果没有人去检查的话，偷偷在代码中投毒的问题依然难以解决 ​

只能未来留个心眼：每次要下载跟使用一个软件时，花时间去阅读它的代码、构建方式等，就像使用一个服务前阅读隐私条款一样。

想到个类似的案例，是去年还是前年的 Pake-Plus。因为是利用 GitHub Actions 来构建 app，所以项目会询问用户的 GitHub token。

后来有人发现，代码中该作者会利用这个 token 强行让用户的 GitHub 账户给自己的项目 star、fork 来刷数据。

被揭露后他一是快速在文档中添加了此事的说明，然后颠倒黑白说自己明明在文档里写了、你们没读是你们的问题，二是辱骂反对的用户是「白嫖党」，自己开源想要点 star 怎么了。

实在是难以评价！