@Matrix5913 开源只解决了社区内大家一起协同合作开发的问题。如果没有人去检查的话,偷偷在代码中投毒的问题依然难以解决 
只能未来留个心眼:每次要下载跟使用一个软件时,花时间去阅读它的代码、构建方式等,就像使用一个服务前阅读隐私条款一样。
想到个类似的案例,是去年还是前年的 Pake-Plus。因为是利用 GitHub Actions 来构建 app,所以项目会询问用户的 GitHub token。
后来有人发现,代码中该作者会利用这个 token 强行让用户的 GitHub 账户给自己的项目 star、fork 来刷数据。
被揭露后他一是快速在文档中添加了此事的说明,然后颠倒黑白说自己明明在文档里写了、你们没读是你们的问题,二是辱骂反对的用户是「白嫖党」,自己开源想要点 star 怎么了。
实在是难以评价!
很多开源项目很安全的幻觉:你觉得他肯定检查了代码,他觉得你肯定检查了代码,结果就是没人任何人检查代码((所以AI编写代码不知道,检查代码安全性大有可为((
Pake-Plus这么逆天的操作吗?我看作者还在Bilibili很活跃宣传自己的产品......
被揭露后他一是快速在文档中添加了此事的说明,然后颠倒黑白说自己明明在文档里写了、你们没读是你们的问题
新的信息:nekogram作者在安装包投的毒...
如果是自构建则不会有这个问题,看来以后需要校验哈希值和自构建安装包了((
但是比如Google play版,作者肯定要改一点点的,所以也校验了哈希值不一致还是无法判断是否被投毒......
@admin @Matrix5913 影响最大的依然是不会自构建自托管的一般人用户
因为你先前发的那个 Twitter 链接中有人提到了 Nekogram 作者的真名,让我有些好奇,发现曾经也没少做过奇怪的事情……难道探索作者历史也是防止被背刺的必要能力之一?
现在翻到了 Telegram 上用户对此的态度,过了一天的时间看起来更多的是「现在这个年头早就没有隐私了」的想法,也是挺危险的。
@admin @Matrix5913 翻到了这个: https://telegra.ph/%E6%9C%89%E5%85%B3-Nekogram-Lite-%E7%9A%84%E6%95%85%E4%BA%8B-04-09
是 Nekogram Lite 的作者写的,在 2020 年时发现的三方混战的事情。
有意思的是作者的这段话:
如果你使用一个人构建的 app,你应当充分信任这个人,否则你最好自己构建。诘问他「你的 app 有后门吗」是没有意义的。我个人认为这三个应用都还没有出现应用和开源代码不一致的情况。
因为被恶意举报从 Google Play 下架了,以及对 Google Play 政策的不满,Nekogram Lite 不会再上架应用商店了,以后就直接通过 apk 分发了。 从 Zuragram 到复活 Nekogram 一切的故事要从我开始用 Nekogram 说起。以前的话我是一个 Plus Messenger 用户,2019 年初的时候,忘了从哪个频道说“发现市面上还没有一个可以一键复读的客户端,我就做了一个”。我当时就去装了,后来发现这个复读真是太好用了,然后基本需要的功能也都有(有分类 tab,无引用转发,查看 ID 等等),就只用这个客户端,不再用 Plus 了。 后来有天 Nekogram 说不维护了,渐渐地频道、群组和机器人都删了。再后来 Telegram 出了新版,有了归档这个功能。我当时非常喜欢也需要这个功能,相对来说我觉得有了归档我就不需要分类 tab 了。但是我又很想要复读。于是我 fork 出了 Zuragram 这个库,在官方客户端的基础上学着之前的 Nekogram 加了复读的功能。 我创建了 @Zuragram 这个频道,把我的 app 上传了上去。在把它发到瓜体中文的群里之后,陆续有了一些人关注。…
Yuki婉梦
Cytrogen ⁂
KIP/JΛYCHØU ⁂ 
HPCesia 
a53bdb