星狗👾

For chinese users : 我估计大部分CT用户都在用Frontrun Pro或者xHunt扩展(尤其在华语社区特别流行), 大家看到GitHub上开源就直接信了。 所以今天我把xHunt和Frontrun都拆开看了一下, 看看底层到底在搞什么, 说实话有些东西确实离谱。 xHunt是开源的没错, 但开源不代表安全。他们的README上写着"仅本地数据存储, 不上传敏感信息", 这完全是在扯淡。 我看了实际代码, 每一个API请求都会发送你的真实IP地址、所在城市、ISP, 甚至通过FingerprintJS生成的持久设备指纹, 以及你在Twitter上访问的每个页面的完整URL, 全部发到他们的服务器kb(.)xhunt(.)ai。他们调用了4个不同的IP定位服务 [ipapi(.)co, ip-api(.)com, ipinfo(.)io, ipify(.)org] 就为了搞清楚你在哪。 更离谱的是, 他们故意用RC4加密和String.fromCharCode数组来隐藏像"authorization"、"x-user-id"和"x-window-location-href"这些请求头名称, 不让审查代码的人发现。说实话正经开发者不会这么干。 他们还在后台脚本里内置了一个完全不受限的HTTP代理(EXECUTE_REQUEST处理器), 零URL验证, 意味着任何代码都能让你的浏览器去请求任何东西, 你的本地网络、云元数据、随便什么都行。而且还有一个空的钱包注入函数, 已经用world:MAIN权限接好了, 就放在那里等着被激活。他们的远程配置跑在阿里Nacos上, 所以可以在几分钟内从服务端推送更改, 完全不需要Chrome商店审核。 Frontrun有点不一样。它挂钩了12个𝕏的GraphQL端点: 你的时间线、关注者、正在关注的人、搜索记录、社区帖子等等, 并且在8个以上的加密平台上对fetch、XHR和WebSocket进行了monkey-patch。 从𝕏和加密平台拦截的API数据留在你的浏览器里用于覆盖层显示, 但每次你打开一个加密网站, Frontrun都会向Amplitude发送平台名称, 当你登录时它会把你的邮箱和姓名发送到Amplitude, 出现错误时它会把日志连同你的设备ID和User Agent一起上传到loadbalance(.)frontrun(.)pro 但关键区别是拦截到的数据大部分留在你的浏览器本地, 用于覆盖层UI, 不像xHunt那样全部发到他们的服务器。 值得注意的是Frontrun也用GrowthBook做远程功能开关, 所以他们也能在不经过Chrome商店更新的情况下改变扩展行为。但总体来说Frontrun在实际操作上比xHunt安全得多。 这两个扩展今天都没有在偷你的私钥或者清空你的钱包。但在xHunt的情况下那些基础设施已经就位了。可以静默推送更改的远程配置系统, 激进的权限, 以及xHunt故意混淆代码来隐藏他们在做什么。注意你装的东西。

感谢大家的厚爱，今天到账的2164，10人分，一人217。 到时候会让Gork开奖，过滤AI机器人，绝对公平。 要求：说下你正在用AI做什么 ✅48小时开奖

当初说好的1万粉抽显卡， 现在在迪士尼带孩子玩。 回家晚点我安排哈

当初说好的1万粉抽显卡， 现在在迪士尼带孩子玩。 回家晚点我安排哈

当初说好的1万粉抽显卡， 现在在迪士尼带孩子玩。 回家晚点我安排哈

就这条了吧，下面好多熟悉的老朋友留言，就不折腾大家第二遍了。 引用的这条推文，抽3个rtx3060（中古矿卡。我个人保证好用） 要求 1️⃣ 满足关注转发点赞 2️⃣粉丝数大于20。非机器人。我会看发帖推文 3️⃣奖品分配 照顾老粉 关注6个月以上选一个 所有粉丝中选一个 另一个我想想