惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

K
Kaspersky official blog
Martin Fowler
Martin Fowler
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
V
Visual Studio Blog
博客园_首页
Engineering at Meta
Engineering at Meta
The Cloudflare Blog
MongoDB | Blog
MongoDB | Blog
Blog — PlanetScale
Blog — PlanetScale
T
The Blog of Author Tim Ferriss
雷峰网
雷峰网
D
Docker
博客园 - 司徒正美
S
SegmentFault 最新的问题
M
MIT News - Artificial intelligence
博客园 - 叶小钗
博客园 - 三生石上(FineUI控件)
U
Unit 42
J
Java Code Geeks
A
About on SuperTechFans
N
Netflix TechBlog - Medium
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
S
Security Affairs
I
Intezer
Cisco Talos Blog
Cisco Talos Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
B
Blog RSS Feed
P
Privacy & Cybersecurity Law Blog
T
Tenable Blog
T
Threatpost
H
Hacker News: Front Page
G
Google Developers Blog
博客园 - 【当耐特】
Hugging Face - Blog
Hugging Face - Blog
Apple Machine Learning Research
Apple Machine Learning Research
L
Lohrmann on Cybersecurity
大猫的无限游戏
大猫的无限游戏
Google DeepMind News
Google DeepMind News
A
Arctic Wolf
S
Secure Thoughts
GbyAI
GbyAI
NISL@THU
NISL@THU
S
Security @ Cisco Blogs
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Webroot Blog
Webroot Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
O
OpenAI News
Spread Privacy
Spread Privacy
Application and Cybersecurity Blog
Application and Cybersecurity Blog

Clark

filament登录页面livewire.js资源无法访问,不能登录后台解决 - Clark 别再刷 MBTI 了!2026 爆火的 SBTI 测试:测测你是什么品种的“精神吗喽”? Apifox 供应链投毒事件全纪实:开发者如何自查并加固 macOS/Windows 安全? - Clark 用 Coding Plan 完美优化大模型 Token 消耗(附超值 Coding Plan 套餐) 为什么你的 OpenClaw 像个“铁憨憨”,别人的却像钢铁侠? - Clark OpenClaw(原moltbot)安装报错:npm install failed; cleaning up and retrying… OpenClaw-Moltbot-Clawdbot 云服务器无法打开webui管理界面 - Clark OpenClaw-Moltbot-Clawdbot 部署教程指南 - Clark macos Shadowrocket与本地DNS冲突 - Clark openwrt Tailscale外网不通,以及部分必要设置 - Clark 告别复杂配置:用Tailscale Peer Relay打造更快、更简单的内网网络 - Clark
宝塔面板,收手吧,别再拿用户数据安全开玩笑了 - Clark
clark · 2026-05-16 · via Clark

共计 461 个字符,预计需要花费 2 分钟才能阅读完成。

最近某些号称“国民级”的服务器宝塔面板,真的是活久见。不知道是哪位产品经理一拍脑门,非要在运维面板里强行塞个 AI,还美其名曰“智能化”。最离谱的是:这玩意儿不仅卸载不掉,还默认拿到了查看服务器所有文件的最高权限。

在服务器运维中,权限管理是最后一道防线。但这次更新最令人不安的地方在于:内置的 AI 组件默认以系统所有者身份运行,可以直接读取服务器内的任何文件。

宝塔面板,收手吧,别再拿用户数据安全开玩笑了

这意味着,无论是你的数据库配置文件、业务核心源码,还是敏感的 SSL 私钥,在 AI 面前都是完全透明的。如果这是一个可选插件,我们尚可讨论其便利性;但当它变成一个 无法关闭、无法卸载 的强制组件时,性质就变了——它在物理上构成了一个不受用户控制的高权限进程。

当你傻乎乎地问 AI:“帮我看看这段代码为什么报错”时,你的业务命门可能已经顺着网线,成了人家大模型训练集里的养料了,测试环境还好,但是大部分跑在宝塔的可都是正式线上项目啊。在运维这个行当,“不可控”=“不安全”。这种把服务器底裤直接亮给第三方的操作,是怎么想得到的?

如果非要强加,请把卸载权限交给用户,留一点底线吧……