“使用过 PakePlus 的用户，请赶快删除你的 github api token，否则有被盗的风险”

就咋的

事情起因，PakePlus 作者在 V2EX 发帖自爆


相关 issue


https://v2ex.com/t/1148556
https://github.com/Sjj1024/PakePlus/issues/9746

--
事件经过，网友发现该作者利用用户 token 给自己的三个项目刷星

1. export const supportPP = async () => {
   
2. try {
   
3. const token = localStorage.getItem('token')
   
4. if (isTauri && token) {
   
5. await invoke('support_pp', {
   
6. token,
   
7. })
   
8. } else if (token) {
   
9. await githubApi.followingUser()
   
10. await githubApi.startProgect('PakePlus')
    
11. await githubApi.startProgect('PakePlus-Android')
    
12. await githubApi.startProgect('PakePlus-iOS')
    
13. }
    
14. } catch (error) {
    
15. console.error('supportPP error', error)
    
16. }
    
17. }

复制代码

10分钟后，PakePlus 作者让围观群众看文档，并删除 github 相关留言，在 v2ex 开群嘲，然后

你不能在 28 分钟前刚加这句话，然后指责用户不看文档。
https://github.com/Sjj1024/PakePlus/commit/49dd9484c2617bc85e0e510d38efd5b34b8d90b3

广告都打到别人 issue 里面去了. 还说不是蹭. 还好意思来 v2 蹭.当然脸皮厚没有道德感确实可以热度高.
https://github.com/tw93/Pake/issues/954

很多精彩评论都被删完了，有人有备份吗
https://imgur.com/a/guI4S4G

先不提其他的，7 月 23 日才开放的本地打包，而你早在 5 月份就在各大周刊宣传。
https://www.bilibili.com/video/BV1VEbfzjEDh/
我都不想回复它了，给后面的 V2er 多提供一点信息。

友情提醒：https://github.com/Sjj1024 点击 Block or Report

--
回到本贴标题


使用过 PakePlus 的用户，请赶快删除你的 github api token，否则有被盗的风险 - V2EX
https://www.v2ex.com/t/1148581

相关讨论
没想到现在还有偷 star 的事情发生 - V2EX
https://www.v2ex.com/t/1148592

--
目前，原帖被扔到 pointless 节点，该作者处于癫狂状态

格林达姆

没看完整源码，这个supportPP是只要用这个软件就会自动触发的吗

就咋的

格林达姆 发表于 2025-7-30 17:39
没看完整源码，这个supportPP是只要用这个软件就会自动触发的吗

这个“作者”的回复，让大家先看文档。但这个文档是事发找补的

使用本软件时，请遵守相关法律法规，如果你使用 github token 使用本项目，默认会 star 本项目，并会统计项目编译结果是成功还是失败，用于改善项目和获取反馈。打包仅限个人使用，请勿传播或商业用途，打包资源会存储在你自己的 Github 开源仓库中，任何人都可以看得到，所以请严格遵守 Github 使用规范，否则后果自负。

----

1. // fork and start
   
2. const forkStartShas = async (tips: boolean = true) => {
   
3.     testLoading.value = true
   
4.     await supportPP()
   
5.     // fork action is async
   
6.     const forkRes: any = await Promise.all([
   
7.         forkPakePlus('PakePlus'),
   
8.         forkPakePlus('PakePlus-iOS'),
   
9.         forkPakePlus('PakePlus-Android'),
   
10.     ])
    
11.     if (forkRes.every((item: any) => item)) {
    
12.         console.log('forkRes', forkRes)
    
13.     } else {
    
14.         console.error('fork error', forkRes)
    
15.     }
    
16.     // sync all branch
    
17.     await syncAllBranch(store.token, store.userInfo.login, true)
    
18.     // get commit sha
    
19.     await commitShas(tips)
    
20. }

复制代码

https://github.com/Sjj1024/PakeP ... /home.vue#L633-L652

Project 还拼错了

1. // support pakeplus
   
2. export const supportPP = async () => {
   
3.     try {
   
4.         const token = localStorage.getItem('token')
   
5.         if (isTauri && token) {
   
6.             await invoke('support_pp', {
   
7.                 token,
   
8.             })
   
9.         } else if (token) {
   
10.             await githubApi.followingUser()
    
11.             await githubApi.startProgect('PakePlus')
    
12.             await githubApi.startProgect('PakePlus-Android')
    
13.             await githubApi.startProgect('PakePlus-iOS')
    
14.         }
    
15.     } catch (error) {
    
16.         console.error('supportPP error', error)
    
17.     }
    
18. }

复制代码

https://github.com/Sjj1024/PakeP ... common.ts#L205-L222

Akkarin~

格林达姆 发表于 2025-7-30 17:39
没看完整源码，这个supportPP是只要用这个软件就会自动触发的吗

这个项目的作用是用rust的tauri框架把网页打包成APP。

可以本地配置环境后打包，也可以“云端打包”，原理是fork之后运行GitHub Actions然后自动在repo中上传打包产物，这个过程需要使用GitHub的API token，作者在这里加了follow自己和给pakeplus的三个repo star的操作。

每次打包后还会向作者的repo发一个包含打包结果的...issue，所以这个repo差不多一万个issue，几乎全是打包结果。

—— 来自 Xiaomi MIX 2S, Android 10, 鹅球 v3.5.99

claymorep

牛的，现在神人是真的多啊

—— 来自 鹅球 v3.5.99-alpha

就咋的

Pake 项目的作者 (tw93@github) 在那条 issue 最新回复

图1，tw93 回复


图2，热心群众引用“PP作者”留言


https://github.com/Sjj1024/PakePlus/issues/9746

巨魔，巨魔无处不在

weironx

偷token也是难绷，还真有人会把token给出去啊

就咋的

weironx 发表于 2025-7-31 14:34
偷token也是难绷，还真有人会把token给出去啊

四楼坛友有说明，软件的在线打包过程中使用了 github 的 API token, 作者就在这里“加料”了

Akkarin~

weironx 发表于 2025-7-31 14:34
偷token也是难绷，还真有人会把token给出去啊

需要token本身不是问题。

比如那个画出GitHub repo的star数量的折线图的网站 https://star-history.com 人家也有输入token的选项，但是人家写清楚了用途是使用GitHub API获取star数量时避免撞上请求频率限制（不使用token的话每个IP每小时最多60次，确实很容易用完），而且特别强调了创建这个token不需要勾上额外的权限。

你想要star在软件里隔几分钟就弹一个对话框大家最多觉得烦，但是自动用token去star和fork那性质就完全不一样了，哪怕作者被骂了然后在文档里注明了有这回事也不能改变这种做法的恶劣性质。

重新回去看了一下代码，在pakeplus里输入token后，会先通过获取用户信息来检测有效性，然后就顺便star和fork了，后者在用户界面上是完全无感知的。

https://github.com/Sjj1024/PakePlus/blob/49dd9484c2617bc85e0e510d38efd5b34b8d90b3/src/pages/home.vue#L535

现在作者迫于压力删除了自动star和fork的代码，但是还在issue打滚中，目前的最新战况是死不承认故意蹭pake的名字，以及把自愿赞助和付费咨询的商业化行为混为一谈

—— 来自 Xiaomi MIX 2S, Android 10, 鹅球 v3.5.99

posthoc

就是典型的泼皮无赖
话说这种事后改文档想岁月史书的是忘了git是版本管理软件么

就咋的

posthoc 发表于 2025-7-31 17:55
就是典型的泼皮无赖
话说这种事后改文档想岁月史书的是忘了git是版本管理软件么 ...

这个作者也把 issues 的评论删除记录清掉了，但是有截图和 archive, 他在 V2ex 发的帖子及回复都是不可自行删除的

就咋的

太乐了，这玩意还有后续的

截图中的“两张原帖图略”，后附链接


图中正文的链接
https://github.com/Sjj1024/PakeP ... Note.md?plain=1#L27
https://github.com/Sjj1024/PakeP ... Note.md?plain=1#L27

这都还能有后续吗......

这哥们怎么还不删库跑路，脸皮这么厚的么

脸皮厚成这样，我也是见识到了。果然人没有良心就能赚很多钱

这人是真的不要脸。口头上说正在协商解决、即日改进。实际上雷打不动，依旧不改名，依旧滥用 token 刷 issue 和 star ，还是给三个项目刷 star 。

现在还特地点名“中国的白嫖党”，想说又不敢说的样子，真是虚伪又恶心。

剽窃 Pake 的 PakePlus 不欢迎中国的白嫖党 - V2EX
https://www.v2ex.com/t/1149386

Kiraru

太好笑了

就咋的

Kiraru 发表于 2025-8-2 01:23
太好笑了

"Preventing the White Whomping Party"


----
相当抽象

whzfjd

哥们不会用push -f改写历史吗