@Matrix5913 开源只解决了社区内大家一起协同合作开发的问题。如果没有人去检查的话，偷偷在代码中投毒的问题依然难以解决 ​

只能未来留个心眼：每次要下载跟使用一个软件时，花时间去阅读它的代码、构建方式等，就像使用一个服务前阅读隐私条款一样。

想到个类似的案例，是去年还是前年的 Pake-Plus。因为是利用 GitHub Actions 来构建 app，所以项目会询问用户的 GitHub token。

后来有人发现，代码中该作者会利用这个 token 强行让用户的 GitHub 账户给自己的项目 star、fork 来刷数据。

被揭露后他一是快速在文档中添加了此事的说明，然后颠倒黑白说自己明明在文档里写了、你们没读是你们的问题，二是辱骂反对的用户是「白嫖党」，自己开源想要点 star 怎么了。

实在是难以评价！

@cytrogen @Matrix5913

很多开源项目很安全的幻觉：你觉得他肯定检查了代码，他觉得你肯定检查了代码，结果就是没人任何人检查代码（（所以AI编写代码不知道，检查代码安全性大有可为（（

Pake-Plus这么逆天的操作吗？我看作者还在Bilibili很活跃宣传自己的产品......

被揭露后他一是快速在文档中添加了此事的说明，然后颠倒黑白说自己明明在文档里写了、你们没读是你们的问题

@cytrogen @Matrix5913

新的信息：nekogram作者在安装包投的毒...
如果是自构建则不会有这个问题，看来以后需要校验哈希值和自构建安装包了（（
但是比如Google play版，作者肯定要改一点点的，所以也校验了哈希值不一致还是无法判断是否被投毒......

@admin @Matrix5913 影响最大的依然是不会自构建自托管的一般人用户 ​

因为你先前发的那个 Twitter 链接中有人提到了 Nekogram 作者的真名，让我有些好奇，发现曾经也没少做过奇怪的事情……难道探索作者历史也是防止被背刺的必要能力之一？​

现在翻到了 Telegram 上用户对此的态度，过了一天的时间看起来更多的是「现在这个年头早就没有隐私了」的想法，也是挺危险的。

@admin @Matrix5913 翻到了这个： https://telegra.ph/%E6%9C%89%E5%85%B3-Nekogram-Lite-%E7%9A%84%E6%95%85%E4%BA%8B-04-09

是 Nekogram Lite 的作者写的，在 2020 年时发现的三方混战的事情。

有意思的是作者的这段话：

如果你使用一个人构建的 app，你应当充分信任这个人，否则你最好自己构建。诘问他「你的 app 有后门吗」是没有意义的。我个人认为这三个应用都还没有出现应用和开源代码不一致的情况。