惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Know Your Adversary
Know Your Adversary
云风的 BLOG
云风的 BLOG
Recent Announcements
Recent Announcements
F
Fortinet All Blogs
B
Blog
罗磊的独立博客
宝玉的分享
宝玉的分享
Vercel News
Vercel News
Martin Fowler
Martin Fowler
N
Netflix TechBlog - Medium
P
Proofpoint News Feed
T
Threatpost
Security Latest
Security Latest
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
Stack Overflow Blog
Stack Overflow Blog
I
Intezer
P
Privacy International News Feed
D
Docker
月光博客
月光博客
博客园 - 三生石上(FineUI控件)
M
MIT News - Artificial intelligence
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
L
Lohrmann on Cybersecurity
Google DeepMind News
Google DeepMind News
The Last Watchdog
The Last Watchdog
A
Arctic Wolf
IT之家
IT之家
S
SegmentFault 最新的问题
S
Securelist
博客园 - 叶小钗
N
News and Events Feed by Topic
F
Full Disclosure
Security Archives - TechRepublic
Security Archives - TechRepublic
Engineering at Meta
Engineering at Meta
Hacker News: Ask HN
Hacker News: Ask HN
博客园 - Franky
GbyAI
GbyAI
AI
AI
Y
Y Combinator Blog
WordPress大学
WordPress大学
Latest news
Latest news
Microsoft Security Blog
Microsoft Security Blog
人人都是产品经理
人人都是产品经理
N
News | PayPal Newsroom
The Cloudflare Blog
www.infosecurity-magazine.com
www.infosecurity-magazine.com
I
InfoQ

Clark

filament登录页面livewire.js资源无法访问,不能登录后台解决 - Clark 别再刷 MBTI 了!2026 爆火的 SBTI 测试:测测你是什么品种的“精神吗喽”? Apifox 供应链投毒事件全纪实:开发者如何自查并加固 macOS/Windows 安全? - Clark 用 Coding Plan 完美优化大模型 Token 消耗(附超值 Coding Plan 套餐) 为什么你的 OpenClaw 像个“铁憨憨”,别人的却像钢铁侠? - Clark OpenClaw(原moltbot)安装报错:npm install failed; cleaning up and retrying… OpenClaw-Moltbot-Clawdbot 云服务器无法打开webui管理界面 - Clark OpenClaw-Moltbot-Clawdbot 部署教程指南 - Clark macos Shadowrocket与本地DNS冲突 - Clark openwrt Tailscale外网不通,以及部分必要设置 - Clark 告别复杂配置:用Tailscale Peer Relay打造更快、更简单的内网网络 - Clark
宝塔面板,收手吧,别再拿用户数据安全开玩笑了 - Clark
clark · 2026-05-16 · via Clark

共计 461 个字符,预计需要花费 2 分钟才能阅读完成。

最近某些号称“国民级”的服务器宝塔面板,真的是活久见。不知道是哪位产品经理一拍脑门,非要在运维面板里强行塞个 AI,还美其名曰“智能化”。最离谱的是:这玩意儿不仅卸载不掉,还默认拿到了查看服务器所有文件的最高权限。

在服务器运维中,权限管理是最后一道防线。但这次更新最令人不安的地方在于:内置的 AI 组件默认以系统所有者身份运行,可以直接读取服务器内的任何文件。

宝塔面板,收手吧,别再拿用户数据安全开玩笑了

这意味着,无论是你的数据库配置文件、业务核心源码,还是敏感的 SSL 私钥,在 AI 面前都是完全透明的。如果这是一个可选插件,我们尚可讨论其便利性;但当它变成一个 无法关闭、无法卸载 的强制组件时,性质就变了——它在物理上构成了一个不受用户控制的高权限进程。

当你傻乎乎地问 AI:“帮我看看这段代码为什么报错”时,你的业务命门可能已经顺着网线,成了人家大模型训练集里的养料了,测试环境还好,但是大部分跑在宝塔的可都是正式线上项目啊。在运维这个行当,“不可控”=“不安全”。这种把服务器底裤直接亮给第三方的操作,是怎么想得到的?

如果非要强加,请把卸载权限交给用户,留一点底线吧……