开源项目PakePlus近日被曝出利用用户提供的GitHub令牌，在用户不知情的情况下自动关注项目作者及其其他项目，引发了对GitHub令牌安全性的广泛担忧。虽然项目的使用条款中提及了此行为，但其在GitHub主页的显眼位置并未公示，导致多数用户对其操作不知情。这一行为不仅侵犯了用户的自主选择权，也让用户对令牌的实际用途产生了疑虑。此外，PakePlus还被质疑抄袭另一开源项目Pake，尽管开发者否认，但其相似的名称和功能仍招致质疑。

🔍 **自动关注与令牌滥用**：PakePlus项目被指控在用户提供GitHub令牌以执行操作时，利用该令牌自动关注项目原作者及其拥有的其他项目，这种行为未经用户明确授权，引发了对GitHub令牌安全性和用户隐私的担忧。

📜 **条款披露与用户不知情**：项目的使用条款中确实提到了“使用GitHub令牌将默认Star本项目，并统计项目编译结果”，但这些说明并未在GitHub主页的显眼位置公示，导致大部分用户在不知情的情况下授权了令牌，对潜在的令牌滥用风险缺乏认知。

⚠️ **潜在安全风险与信任危机**：尽管目前尚无证据表明用户的GitHub令牌存在安全风险，但这种未经明确告知的自动操作行为，让用户对其令牌被用于其他未知目的产生了担忧，对项目的信任度造成了损害。

🤔 **项目名称与抄袭争议**：PakePlus项目还被质疑抄袭了另一个名为Pake的开源项目，尽管开发者声称所有实现均为原创且与Pake无关，但使用类似名称和功能的产品，容易引起混淆和法律纠纷，也使得Pake开发者对其提出质疑是理所应当的。

🛠️ **PakePlus核心功能与应用场景**：PakePlus作为一个打包工具，旨在将网页等内容转换为桌面或移动应用程序，为开发者提供了一种便捷的应用打包解决方案。然而，其在操作规范和项目命名上的争议，影响了其作为工具的正面形象。

据 V2EX 网友发布的帖子，开源项目 PakePlus 被发现“偷”关注，当用户提供 GitHub 令牌用于执行操作时，会被项目原作者使用令牌自动关注原作者账号以及原作者的其他项目。

对开发者来说在 GitHub 上发布的项目获得更多 Star 确实是个有用的事情，通常情况下开发者都会鼓励用户使用项目时顺手点个关注，但这种利用令牌偷偷自动执行操作的情况并不常见。

网友还发现在 PakePlus 使用条款时有提到这部分内容：如果你使用 GitHub 令牌使用本项目则会默认 Star 本项目，并会统计项目编译结果是成功还是失败，用于改善项目和获取反馈。

实际测试可以发现提供 GitHub 令牌后会 Star 项目、关注项目开发者、Star PakePlus-iOS 以及 Star PakePlus-Android，这种行为对其他开发者而言多少还是有些危险的，毕竟没人知道你的令牌还被用于做哪些事情。

不过已经使用这个项目的开发者暂时还不需要担心，至少目前还没有证据表明令牌存在安全风险，当然即便在使用条款中有说明，在 GitHub 主页却没有看到这些说明，所以估计大多数用户应该都不知道这些情况。

PakePlus 主要功能是将网页等转换为桌面或移动应用程序的打包工具，目前该项目还被质疑存在抄袭行为，抄袭另一个开源项目 Pake，不过开发者表示 PakePlus 与 Pake 没有任何关系，所有实现也都是原创的。

至于为什么原创的还要使用现有类似项目的类似名称就让人不得而知了，这种情况被 Pake 开发者质疑也是理所应当的，毕竟会让人误以为 PakePlus 与 Pake 存在关系。