年后转职的各位注意了， 最近看到几天 Threads 上贴文， 有人远程面试 clone 了一个 repo 没有手动执行 用 IDE ( VS code / Cursor ..) 来查看源代码 电脑里的私钥就外流了。 -- 补充一下攻击原理，很多人其实都误会了。 现在的 IDE（VS Code、Cursor、WebStorm）早就不只是拿来「看代码」的工具。 你一打开 repo，IDE 为了帮你做 ESLint、Prettier、TypeScript 类型分析、框架侦测（Next.js / Vite / React），会自动用 Node.js 去载入项目里的配置文件。 像是 eslint.config.js、prettier.config.js、next.config.js、vite.config.js，这些看起来是配置文件，本质上全部都是「可执行的 JavaScript」。 攻击者就是把恶意代码藏在这些配置文件里。 你没有 npm run、没有 node index.js， 但 IDE 已经先帮你执行了。 一旦被执行，就可以在「用户权限」下做很多事，例如读取电脑里的私钥、SSH key、配置文件，再把数据对外送出去，整个过程不会跳任何窗口，也不会让你察觉。 所以才会出现这种听起来很离奇的状况： 我只是 clone repo 我只是开 IDE 看源代码 但电脑里的私钥就不见了 这不是你手滑，也不是你没资安意识， 而是现代前端工具链本身就会「自动执行项目代码」。 --...