原贴链接

流行的(在 GitHub 上有 15k 星)开源 VSCODE 扩展继续静默地未经用户同意下载 “Chromium.app”用于文档爬取??

只有我觉得这很令人不安吗?开源扩展安装了二进制文件并且完全未经用户同意。

我是一个忠实的 Firefox 用户,所以当我收到 Chromium 通知时非常震惊,检查日志后发现 vscode 扩展将其安装到了 ~/.continue/.utils/.chromium-browser-snapshots/chromium/

我认为这存在许多潜在的安全问题,这与善意安装的 “Malware.app” 有何不同?

与此相对,LLama.cpp 希望在其他 FOSS 库上重新实现依赖项

讨论总结

本次讨论主要聚焦于一个在GitHub上拥有15k星标的流行VSCode扩展,该扩展在未经用户同意的情况下静默下载并安装Chromium.app。用户普遍对此行为表示担忧,认为这可能带来潜在的安全风险,并将其与恶意软件的安装相提并论。讨论中涉及的主要议题包括安全风险、用户隐私、开源项目的依赖管理以及文档解析工具的使用。此外,还有用户对比了其他开源项目如LLama.cpp的处理方式,强调了透明度和用户知情权的重要性。总体而言,讨论呈现出对技术细节的关注和对用户权益保护的呼吁。

主要观点

  1. 👍 未经用户同意下载Chromium.app
    • 支持理由:扩展需要Chromium来解析某些使用JavaScript渲染的文档站点。
    • 反对声音:这种行为可能引发潜在的安全问题,类似于安装恶意软件。
  2. 🔥 开源项目的依赖管理
    • 正方观点:使用现有解决方案如Chromium可以简化开发过程。
    • 反方观点:重新实现依赖项可以提高透明度和安全性。
  3. 💡 用户权限和选择
    • 用户应有权选择是否允许扩展下载和安装依赖。
  4. 👀 代码审查的重要性
    • 在部署前仔细阅读代码可以避免未经用户同意的行为。
  5. 🤔 开源软件的纯粹性
    • 开源软件应保持透明和纯粹,避免未经用户同意的行为。

金句与有趣评论

  1. “😂 Possible explanation: they need an engine to parse some documentation sites, some of them are using javascript to render actual text, so an engine is needed to be able to access that, raw http requests are not enough in those cases. Chromium is easy to integrate.”
    • 亮点:解释了为什么需要Chromium来解析文档。
  2. “🤔 Contrasting this with LLama.cpp which wants to reimplement dependencies on other FOSS libraries.”
    • 亮点:对比了不同项目处理依赖的方式。
  3. “👀 It’s in the VSCode extension changelog committed on the 27th. It says headless browser right there”
    • 亮点:指出扩展的更新日志中提到了下载Chromium的行为。

情感分析

讨论的总体情感倾向较为担忧和批判,主要分歧点在于是否应在未经用户同意的情况下下载和安装依赖项。用户普遍认为这种行为可能带来安全风险,并呼吁增加用户选择和透明度。潜在的原因包括对开源软件纯粹性的期望以及对用户隐私和安全的关注。

趋势与预测

  • 新兴话题:用户权限和选择在软件开发中的重要性可能会引发更多讨论。
  • 潜在影响:对开源项目的依赖管理和用户知情权的关注可能会促使相关项目改进其透明度和用户交互方式。

详细内容:

《关于 Vscode LLM 扩展未经用户同意下载 Chromium.app 的热门讨论》

在 Reddit 上,一则关于热门的开源 VSCODE 扩展未经用户同意悄然下载“Chromium.app”的帖子引发了广泛关注。该帖子在 GitHub 上获得了高达 15000 颗星的热度,原帖指出这一行为可能存在潜在的安全问题。

讨论的焦点主要集中在以下几个方面: 有人认为,可能是因为需要一个引擎来解析某些文档网站,而 Chromium 易于集成。也有人指出,Chromium 是开源的,并非充满谷歌的间谍软件。还有人提到,在小型 GitHub 项目中下载应用作为依赖项是很常见的,像 AppImage 就经常包含类似内容。不过,也有人认为这种行为令人担忧,因为不知道下载的二进制文件来自何处,可能包含未知内容。

有人分享道:“作为一名资深的开发人员,我深知在软件开发中依赖关系的处理是复杂的。但像这样未经明确用户同意就下载重要的依赖项,确实是一个需要谨慎对待的问题。在我的项目中,如果需要类似的依赖,一定会在文档中清晰说明并征得用户同意。”

有用户提出,像 VS Code 这样的扩展在更新时没有在文档中提及相关内容。

对于开源软件的这种行为,有人认为,如果代码是开源的,用户可以查看甚至根据自己的意愿进行修改,通常通过包管理器安装软件时几乎不可能在未经用户同意的情况下安装任何东西。但也有人指出,即使是开源的依赖,如果其发布的下载内容来源不明,也存在风险。

总之,关于这一话题,大家观点各异,有人觉得常见无需大惊小怪,有人则对潜在的安全问题表示担忧。但无论如何,这一讨论都提醒我们在使用开源软件时要保持警惕。