logo NodeSeekbeta

【吃瓜】用embypluse面板的建议抓紧换!!

省流:embypluse面板存在严重安全漏洞,作者完全纯AI生成代码、完全不懂代码不懂开发,已导致用户账号被封、个人信息泄露。


事件经过

本人也是一名服主,使用 EmbyPlus 面板开服。前两天,频道里的机器人突然自动发送了几张14岁以下的图片(懂的自然懂)。虽然第一时间撤回,但tg秒被杜叔叔拿下——年费VIP账号,直接蒸发

复盘后发现根源在EmbyPlus面板。紧急在几个群里提醒其他服主停用,但似乎没人当回事。结果另一位朋友同样中招,他是embypluse搭建在自己家的nas,漏洞被黑后连盒都被人开了。。。


这代码有多离谱?

在多个交流群怒喷一天后,作者终于露面。顺便给大家品鉴一下这位"开发者"的传世经典

代表作 具体表现
《明文传送token这一块》 敏感凭证裸奔传输
《24个API不鉴权这一块》 二十四个接口直接放行,谁来都能进
《什么叫F12能直接看到我的一切》 前端裸奔,浏览器开发者工具=后台管理面板

总结:作者完全非计算机专业、非开发人员、看不懂代码,纯纯的vibe coding选手。

Pro版本售价79元,用户规模不小。在我连喷一天后作者终于回应——骂我的不退钱,没骂我的给退。大家缺的是这几十块吗?缺的是一个担当


作者群里陆续出现:

  • 帮他排查架构的"义工"
  • 教他混淆加密代码的"导师"
  • 教他配置文件应该写本地的"基础教学"

结果大家越扒越心惊:到处都是明文展示,触目惊心。

然后有人甩了两张图——群里瞬间安静
y3fn6FVB8FIRuAZFeFeGXXMWQIgkVOIU.webp

bcknMV696I0H8ozD5pQLQi5AzmHKftxE.webp
剩下的,大家自己看图吧。


锐评

Vibe coding没问题,AI辅助开发是趋势。

但能不能别出来害人?

你知道有多少服主在用这个面板吗?你知道你的"一键生成"背后是多少用户的真实数据、真实账号、真实人身安全吗?

不懂代码可以学,不懂责任别收钱。


(附:建议正在使用EmbyPlus的服主立即停用,检查日志,排查是否已有异常请求。技术细节后续整理发布。)

  • 其他的我不说了,能给79块钱的真的冤大头了
    代码是明文存在容器里的,完全不需要花79块钱改几行代码就行
    image.png

  • 我一直记得ns的某个大神vibe了发卡站,后台admin登录权限是放在localstorage里的,isadmin=true就可以进后台了。

  • 吃瓜

  • 哈哈,虽然但是楼主的帖子ai含量也不低 xhj001

  • 顶起来

  • 这是用豆包写的吗 xhj001 怎么安全防御和纸一样

  • 吃瓜

  • 约等于无人驾驶的灵车,上车=出事无人理。

  • 离谱,vibe的代码能实现功能不代表不需要任何审查,安全是很大的问题…

  • ac01 什么垃圾模型,这点安全措施都不做? 还是说模型问了,他说,搞个最简单的实现就行?

    vibecoding 流行以后,开源项目的平均质量严重下降,很多人AI写的代码自己看都不看就开源 or 收费

    建议认准 阿帕奇基金会 ,质量严选这一块

  • @tshtxyd #8 我发这儿没别的意思,只是希望大家传播传播,用这个面板的抓紧停了,别致自己的数据安全于不顾

你好啊,陌生人!

我的朋友,看起来你是新来的,如果想参与到讨论中,点击下面的按钮!

📈用户数目📈

目前论坛共有63442位seeker

🎉欢迎新用户🎉