极客日报 #1770
极客日报#1770
本期收录 3 条社区推荐,涉及 Jan - Local AI Assistant、gh-dash、扫描GitHub“误删提交”中的泄露密钥。
2025年7月4日
本期推荐
Jan - Local AI Assistant
本地运行HuggingFace的LLM模型,支持连接OpenAI、Anthropic等云服务。可创建定制化AI助手,满足特定任务需求。提供OpenAI兼容的本地API服务器,便于其他应用集成。支持MCP,注重隐私保护,所有操作可本地运行。
gh-dash
一个漂亮的 GitHub CLI 仪表板
扫描GitHub“误删提交”中的泄露密钥
安全研究员Sharon Brizinov利用GitHub Archive和事件API,扫描了所有因强制推送(force push)而被“删除”的提交(称为“Oops Commits”),发现其中包含大量未撤销的敏感密钥(如GitHub PAT、AWS凭证等)。通过自动化工具和开源项目TruffleHog,他识别出价值25,000美元的漏洞赏金密钥,并揭示了一个可能导致Istio供应链攻击的高危案例。研究证明,GitHub不会真正删除提交,泄露的密钥需立即撤销而非依赖历史重写。文末还开源了扫描工具,供组织自查风险。
Rebase 极客日报由社区志愿者共同维护,持续整理值得关注的技术内容与行业信号。