Zed 未经用户同意下载 NodeJS 二进制文件和 npm 包,官方还不改

2024年 7月 8日 53.4k 0

有开发者发现 Zed 在未经同意的情况下从互联网下载 NodeJS 二进制文件和 npm 包。

Zed 未经用户同意下载 NodeJS 二进制文件和 npm 包,官方还不改-1

该开发者指出 Zed 自动从 https://nodejs.org 下载 NodeJS 二进制文件,并从 https://supermaven.com 下载专有二进制文件,而无需用户的同意或通知,并且没有选项可以关闭。

说来也有意思,这名开发者被消耗了 14 兆流量。说正经的,Zed 这种行为不仅在安全上引起了担忧,而且下载的二进制文件可能因为与系统不兼容而无法运行。

其他许多开发者也意识到了 Zed 这个情况,并且补充:Zed 会下载未签名的可执行文件并在未经任何同意或许可的情况下运行它们。

而 Zed 官方团队目前没有计划改变这种做法,他们的表态是因为已经编写了大量代码来支持各种前端工具。Zed 目前支持语言和语言服务器的三种方式:内置语言支持、预打包的扩展以及需要显式激活的扩展。开发团队计划在未来为这些问题提供解决方案,但目前尚未完成相关工作。

Zed 未经用户同意下载 NodeJS 二进制文件和 npm 包,官方还不改-2

Zed 未经用户同意下载 NodeJS 二进制文件和 npm 包,官方还不改-3

也有开发者提出了一个建议,即设置一个默认启用的弹出窗口,请求用户权限来下载二进制文件,并提出了三个选项来控制下载行为。

Zed 未经用户同意下载 NodeJS 二进制文件和 npm 包,官方还不改-4

围观:https://github.com/zed-industries/zed/issues/12589

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论