开源项目PakePlus近日被网友发现，在用户提供GitHub令牌用于执行操作时，会未经明确同意自动关注项目原作者及其其他项目。尽管项目使用条款中提及此行为，但GitHub主页并未显著说明，可能导致用户不知情。此举引发了对用户令牌安全性的担忧，因为令牌可能被用于其他未知操作。此外，PakePlus还被质疑抄袭另一开源项目Pake，但开发者否认了抄袭指控，并表示其所有实现均为原创。该项目主要功能是将网页转换为桌面或移动应用。

🌟 PakePlus项目被指控在用户提供GitHub令牌时，未经明确授权自动关注项目原作者及其关联项目，此行为引发了用户对令牌安全性的担忧，担心令牌可能被用于其他未知目的。

📄 项目的使用条款中曾提及“使用GitHub令牌将默认Star本项目，并统计编译结果用于项目改善和反馈”，但GitHub主页上并未明确展示这些信息，导致大多数用户可能在不知情的情况下授权了这些操作。

🔒 尽管目前尚无证据表明GitHub令牌存在实际安全风险，但这种在条款中隐藏自动关注行为的做法，对于其他开发者而言存在潜在的危险，增加了用户对项目信任度的考量。

❓ PakePlus项目还面临抄袭另一开源项目Pake的质疑，尽管开发者坚称其代码为原创且与Pake项目无关，但使用相似名称的做法仍引起了Pake开发者的合理质疑，可能误导用户。

🛠️ PakePlus的核心功能在于作为一款打包工具，能够将网页内容转换成桌面或移动应用程序，为开发者提供了一种便捷的应用构建方式。

据 V2EX 网友发布的帖子，开源项目 PakePlus 被发现“偷”关注，当用户提供 GitHub 令牌用于执行操作时，会被项目原作者使用令牌自动关注原作者账号以及原作者的其他项目。

对开发者来说在 GitHub 上发布的项目获得更多 Star 确实是个有用的事情，通常情况下开发者都会鼓励用户使用项目时顺手点个关注，但这种利用令牌偷偷自动执行操作的情况并不常见。

网友还发现在 PakePlus 使用条款时有提到这部分内容：如果你使用 GitHub 令牌使用本项目则会默认 Star 本项目，并会统计项目编译结果是成功还是失败，用于改善项目和获取反馈。

实际测试可以发现提供 GitHub 令牌后会 Star 项目、关注项目开发者、Star PakePlus-iOS 以及 Star PakePlus-Android，这种行为对其他开发者而言多少还是有些危险的，毕竟没人知道你的令牌还被用于做哪些事情。

不过已经使用这个项目的开发者暂时还不需要担心，至少目前还没有证据表明令牌存在安全风险，当然即便在使用条款中有说明，在 GitHub 主页却没有看到这些说明，所以估计大多数用户应该都不知道这些情况。

PakePlus 主要功能是将网页等转换为桌面或移动应用程序的打包工具，目前该项目还被质疑存在抄袭行为，抄袭另一个开源项目 Pake，不过开发者表示 PakePlus 与 Pake 没有任何关系，所有实现也都是原创的。

至于为什么原创的还要使用现有类似项目的类似名称就让人不得而知了，这种情况被 Pake 开发者质疑也是理所应当的，毕竟会让人误以为 PakePlus 与 Pake 存在关系。

查看评论