来源: https://www.nodeseek.com/post-733667-1
省流:embypluse面板存在严重安全漏洞,作者完全纯AI生成代码、完全不懂代码不懂开发,已导致用户账号被封、个人信息泄露。
事件经过
本人也是一名服主,使用 EmbyPlus 面板开服。前两天,频道里的机器人突然自动发送了几张14岁以下的图片(懂的自然懂)。虽然第一时间撤回,但tg秒被杜叔叔拿下——年费VIP账号,直接蒸发。
复盘后发现根源在EmbyPlus面板。紧急在几个群里提醒其他服主停用,但似乎没人当回事。结果另一位朋友同样中招,他是embypluse搭建在自己家的nas,漏洞被黑后连盒都被人开了。。。。
这代码有多离谱?
在多个交流群怒喷一天后,作者终于露面。顺便给大家品鉴一下这位"开发者"的传世经典:
| 代表作 | 具体表现 |
|---|---|
| 《明文传送token这一块》 | 敏感凭证裸奔传输 |
| 《24个API不鉴权这一块》 | 二十四个接口直接放行,谁来都能进 |
| 《什么叫F12能直接看到我的一切》 | 前端裸奔,浏览器开发者工具=后台管理面板 |
总结:作者完全非计算机专业、非开发人员、看不懂代码,纯纯的vibe coding选手。
Pro版本售价79元,用户规模不小。在我连喷一天后作者终于回应——骂我的不退钱,没骂我的给退。大家缺的是这几十块吗?缺的是一个担当。
作者群里陆续出现:
- 帮他排查架构的"义工"
- 教他混淆加密代码的"导师"
- 教他配置文件应该写本地的"基础教学"
结果大家越扒越心惊:到处都是明文展示,触目惊心。
然后有人甩了两张图——群里瞬间安静。
剩下的,大家自己看图吧。
锐评
Vibe coding没问题,AI辅助开发是趋势。
但能不能别出来害人?
你知道有多少服主在用这个面板吗?你知道你的"一键生成"背后是多少用户的真实数据、真实账号、真实人身安全吗?
不懂代码可以学,不懂责任别收钱。
(附:建议正在使用EmbyPlus的服主立即停用,检查日志,排查是否已有异常请求。技术细节后续整理发布。)