看了一些文章,说插件会在后台不需要任何授权就可以进行全局的扫描,甚至都能扫描电脑的文件,造成风险,插件是不是这样的运行方式
如何规避,并保证信息安全
在 windows 上基本是的,mac 不太清楚,可能文件权限管理更严格一些?
一般来说从插件商店安装的插件更有保障一些,在第一次发布时官方会审查代码。基本上插件的代码都是开源的,用的人越多的插件相对越安全一些,有问题更容易被发现。
其他的话,基本没有任何保障,全靠信任。插件开发者完全可以在提交审查的时候提交一个正常版本,过审上架后通过更新加入恶意功能。
这种问题如何尽量减少一些,安装插件肯定也是从商店安装,但是不能保证都是官方插件,肯定需要 使用个人开发的,比如模板,callout 附件管理,等等这些
社区插件市场的插件通常不会有问题。你如果实在担心,可以把插件的main.js发给ai审查。
提示词如下:
以下是obsidian的一个插件的main.js。
分析它的功能,并报告:
1 是否有非主动的访问笔记库之外的文件的行为?
2 是否有超出需求之外的文件扫描行为?
3 是否存在对现有文件进行破坏性写入的风险?
(...其他的 自己加 ...)
4 报告其他可能存在的主观恶意行为或已存在的客观风险。
好的,非常感谢,感觉这个应该 很有帮助