如何判断一个「一键脚本」没有夹带私货？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

This topic created in 1128 days ago, the information mentioned may be changed or developed.

经常能看到为了解决一个问题，有人分享各种「一键脚本」，用于在自己的 VPS 上搭建各种服务。
如何判断这个「一键脚本」有没有夹带私货？
虽然很多脚本是开源的，有多少人在使用之前会进行代码审查？
（如某官方服务搭建只需要安装 5 个服务，而某一键脚本会安装 50+个不同的服务）

脚本

私货

夹带

搭建

23 replies • 2023-04-07 07:57:11 +08:00

darer

Apr 5, 2023

那你把脚本丢给 chatgpt 让它帮你审查一下
我反正是会看一下的如果哪里不喜欢还会改一下

dawn009

Apr 5, 2023

不放心的不要用，尤其是服务器。
自己读一遍，或用 AI 辅助读。
浏览器安装油猴脚本时都会自动弹出代码让你自己审查一遍，就是这个道理。

FranzKafka95

Apr 5, 2023 via Android

自己也是脚本作者，提供几点建议:
1.未开 ISSUE 区的需要谨慎
2.只有一两人维护的需要谨慎
3.小众的，无其他开源活跃者背书的需要谨慎
4.需要 root 权限的需要谨慎
5.脚本经过加密的需要谨慎
6.尽量使用官方推荐的一键
7.尽量使用维护更新透明(每一笔提交你能看到详细的修改内容)的一键

另外，不同人对于夹带私货的定义是有区别的。有的脚本作者喜欢在脚本中增加个人项目地址，博客地址，广告推广，这些在我看来都是可以的，有些人则不认同，这点就因人而异了。

shiqueb

Apr 5, 2023 via Android

对于部分想快速跑通不想看一眼的，只能靠信仰了

cmdOptionKana

Apr 5, 2023

一般有官网，稍有点名气的，我就不审查了，因为用户多，大概率有人会审查，并且这种一旦发现就是大新闻。

用户量小的脚本必须要看，这个危险程度很高。

Cormic

Apr 5, 2023

我选择不用

levelworm

Apr 5, 2023 via Android

自己研究一下

pigzilla

Apr 5, 2023

一键脚本应默认视为有危险。不记得从什么时候开始流行 "curl | bash" 这种一键脚本，简直就是毒瘤。

SenLief

Apr 5, 2023

你都用一键了还管什么风险。

leonshaw

Apr 5, 2023

拉下来一行一行复制

forQ

Apr 5, 2023

看到一键就远离。自己一步一步来可能会遇到各种各样的问题，但是解决问题的过程更有意思

storyxc

Apr 5, 2023

必须审查代码不然就别用，前几天看个帖子 /t/928400 ，搭梯脚本直接把信息全上传到指定服务器了，而且这项目当时还有 1k+的 star

cctv6

Apr 5, 2023

反正我是选择不用脚本

特别是那种通过 curl sh 执行的，直接通过管道传给 sh ，执行后可以不留下记录。远程的服务端完全有可能针对不同的 user-agent ，甚至随机返回带恶意代码的脚本。

Daybyedream

Apr 5, 2023

@pigzilla 推广云服务器时候，给人一键装 docker 装应用 hhh 我感觉是这样起来的风气

OldCarMan

Apr 5, 2023

1.之前我发过类似的贴子，回答不多，可以看看：/t/920810 ；

2.该说的上面 v 友说的差不多了，个人补充一下：
a.如果脚本代码量不多，可以自己 review 一下，把关键引用的库 /连接 /授权代码都排查一下；
b.如果代码量大且复杂，除了排查关键库 /链接外，可以先在虚拟机里跑一下，跑完后观察一下虚拟机有没有什么可疑
的端口 /进程等之类的。
c.除此了普通链接，包 /库这种外部引用外，有时还得留意镜像仓库地址之类的，当引用到不明镜像仓库时，有官方镜
像的可以下载到自己的仓库里再引用进来。

OldCarMan

Apr 5, 2023

我以为 v 站会自动解析相对地址，上面的地址为： https://www.v2ex.com/t/920810