年後轉職的各位注意了， 最近看到幾天 Threads 上貼文， 有人遠端面試 clone 了一個 repo 沒有手動執行 用 IDE ( VS code / Cursor ..) 來查看源碼 電腦裡的私鑰就外流了。 -- 補充一下攻擊原理，很多人其實都誤會了。 現在的 IDE（VS Code、Cursor、WebStorm）早就不只是拿來「看程式碼」的工具。 你一打開 repo，IDE 為了幫你做 ESLint、Prettier、TypeScript 型別分析、框架偵測（Next.js / Vite / React），會自動用 Node.js 去載入專案裡的設定檔。 像是 eslint.config.js、prettier.config.js、next.config.js、vite.config.js，這些看起來是設定檔，本質上全部都是「可執行的 JavaScript」。 攻擊者就是把惡意程式碼藏在這些設定檔裡。 你沒有 npm run、沒有 node index.js， 但 IDE 已經先幫你執行了。 一旦被執行，就可以在「使用者權限」下做很多事，例如讀取電腦裡的私鑰、SSH key、設定檔，再把資料對外送出去，整個過程不會跳任何視窗，也不會讓你察覺。 所以才會出現這種聽起來很離奇的狀況： 我只是 clone repo 我只是開 IDE 看原始碼 但電腦裡的私鑰就不見了 這不是你手滑，也不是你沒資安意識， 而是現代前端工具鏈本身就會「自動執行專案程式碼」。 --...