Vibe Coding 安全防御实录

给自己做了次安全审计，发现项目里 10+ 个脚本硬编码了钱包私钥——差点把资金暴露在 GitHub 上。

起因是 @evilcos 预警的 IDE 漏洞，加上之前分享 Polymarket 数据抓取时 X 友们的提醒。

🚨 最危险的场景

GitHub clone 一个项目，用 Cursor 打开——私钥就没了。

项目里藏个配置文件，IDE 打开时自动执行命令，你根本不知道。Cursor 官方说这个安全机制"太复杂"所以默认关了。

解决：Settings → 搜索 workspace trust → 打开

🛡️ 我的防护体系（图1）

关键是让防护自动化：
• IDE 恶意项目 → 自动弹窗确认
• AI 读私钥 → 自动拦截
• 代码改 main → 自动拦截

手动的靠不住，自动的才兜底。

📋 克隆外部项目 SOP（图2）

5 步检查流程，养成习惯就不怕了。

你们 clone 外部项目前会检查什么？

cc @evilcos @SlowMist_Team 🙏