零信任心态

零信任心态是一种安全理念，即默认不信任任何内部或外部的请求，对任何主动接触（如高薪面试邀请、访谈邀请）保持高度警惕。在[[定向社交工程攻击]]日益猖獗的背景下，这种心态成为开发者最重要的安全防线。

核心原则

• 默认不信任：不信任任何未经验证的请求、链接或软件
• 持续验证：对任何操作都进行身份验证和授权检查
• 最小权限：只授予完成任务所需的最小权限

在Axios投毒事件中的教训

2026年3月的[[axios]]投毒事件中，核心维护者[[jason-saayman]]被攻击者通过长达数周的社交工程攻击所欺骗。如果保持零信任心态，对"需要安装非应用商店的软件"、"运行不知名脚本"或"临时下载证书"等请求保持警惕，攻击可能被阻止。

实践建议

给所有开发者的忠告：在这个时代，主动找上门的高薪面试、大V访谈，只要涉及到"需要安装非应用商店的软件"、“运行不知名脚本"或"临时下载证书”，100%是诈骗。保持技术人员的偏执，永远不要在焦虑和催促下敲下回车键。

相关概念

• [[定向社交工程攻击]] — 零信任心态旨在防御的主要威胁
• [[开源供应链安全]] — 零信任心态在供应链安全中的应用
• [[会话劫持]] — 零信任心态可以防止的攻击手法