Volgens V2EX-netizensNa, bleek het open source-project PakePlus de aandacht te "stelen". Wanneer een gebruiker een GitHub-token verstrekt om een bewerking uit te voeren, zal de oorspronkelijke auteur van het project het token gebruiken om automatisch het account van de oorspronkelijke auteur en andere projecten van de oorspronkelijke auteur te volgen.
Het is inderdaad nuttig voor ontwikkelaars om meer sterren te krijgen voor projecten die op GitHub zijn gepubliceerd. Meestal zullen ontwikkelaars gebruikers aanmoedigen om het project te volgen wanneer ze het gebruiken, maar het is niet gebruikelijk om tokens te gebruiken om in het geheim bewerkingen te automatiseren.
Netizens ontdekten ook dat dit onderdeel werd vermeld in de gebruiksvoorwaarden van PakePlus: als je het GitHub-token gebruikt om dit project te gebruiken, zal het standaard het project een ster geven, en statistieken over of het projectcompilatieresultaat succesvol of mislukt is, zullen worden gebruikt om het project te verbeteren en feedback te verkrijgen.
Uit daadwerkelijke tests is gebleken dat het verstrekken van een GitHub-token zal resulteren in het Star-project, in navolging van projectontwikkelaars Star PakePlus-iOS en Star PakePlus-Android. Dit gedrag is enigszins gevaarlijk voor andere ontwikkelaars. Niemand weet immers waarvoor uw token verder wordt gebruikt.
Ontwikkelaars die dit project al hebben gebruikt, hoeven zich voorlopig echter geen zorgen te maken. Er is in ieder geval geen bewijs dat het token veiligheidsrisico's met zich meebrengt. Zelfs als er instructies in de gebruiksvoorwaarden staan, zijn deze instructies natuurlijk niet te zien op de startpagina van GitHub, dus er wordt geschat dat de meeste gebruikers zich niet bewust zijn van deze situaties.
De belangrijkste functie van PakePlus is een verpakkingstool die webpagina's omzet in desktop- of mobiele applicaties. Het project wordt momenteel ondervraagd wegens plagiaat en plagiaat van een ander open source-project Pake. De ontwikkelaar verklaarde echter dat PakePlus niets met Pake te maken heeft en dat alle implementaties origineel zijn.
Het is onduidelijk waarom de originele nog steeds vergelijkbare namen gebruikt van bestaande vergelijkbare projecten. Deze situatie wordt terecht in twijfel getrokken door Pake-ontwikkelaars. Het zal mensen immers ten onrechte doen denken dat PakePlus verwant is aan Pake.