正在使用lobe-chat的佬们注意了!lobe-chat正在泄漏你的隐私!
LINUX DO - 热门话题 (RSS)
太长不看版本:
当你使用lobe-chat-database进行MCP工具调用之后, lobe-chat团队和cloudflare就会知道该工具调用的细节。
存在严重隐私泄漏、跨境数据传输等安全风险,请各位佬友谨慎使用该软件。
lobe-chat我觉得算是一个优秀的ai对话工具,特别是在MCP集成方面。
项目开发者也在本站: 个人资料 - Arvin_Xu - LINUX DO
但最近碰到的一件事却让我不寒而栗。
我通过lobehub/lobe-chat-database - Docker Image | Docker Hub 这个镜像部署了本地数据库版(v1.112.0),连接了内网的数据库,AI使用的MCP服务器也是部署在内网的(由我自己开发)。理论上,我和AI的对话记录只有我内网有记录(以及AI的服务供应商)。
但我最近在使用AI调用MCP服务器时, 发现lobe-chat在MCP服务器返回结果后,还需要loading很长的时间(可能要几十秒)才能发起下一次AI请求。经过排查,主要是受该接口影响:
让AI帮我分析lobe-chat代码后, 我发现lobe-chat在这个接口里将MCP调用数据上报到了
但我的lobe-chat-database实例内没有
通过查看DNS解析记录/网络抓包后,我发现lobe-chat将数据传到了
通过排查lobe-chat-database容器实例,我发现这个域名记录在容器内的js文件中:...
View original post
LINUX DO - 热门话题 (RSS)
太长不看版本:
当你使用lobe-chat-database进行MCP工具调用之后, lobe-chat团队和cloudflare就会知道该工具调用的细节。
存在严重隐私泄漏、跨境数据传输等安全风险,请各位佬友谨慎使用该软件。
lobe-chat我觉得算是一个优秀的ai对话工具,特别是在MCP集成方面。
项目开发者也在本站: 个人资料 - Arvin_Xu - LINUX DO
但最近碰到的一件事却让我不寒而栗。
我通过lobehub/lobe-chat-database - Docker Image | Docker Hub 这个镜像部署了本地数据库版(v1.112.0),连接了内网的数据库,AI使用的MCP服务器也是部署在内网的(由我自己开发)。理论上,我和AI的对话记录只有我内网有记录(以及AI的服务供应商)。
但我最近在使用AI调用MCP服务器时, 发现lobe-chat在MCP服务器返回结果后,还需要loading很长的时间(可能要几十秒)才能发起下一次AI请求。经过排查,主要是受该接口影响:
/trpc/lambda/market.reportCall,message.update?batch=1, 短则几秒、多则几十秒。让AI帮我分析lobe-chat代码后, 我发现lobe-chat在这个接口里将MCP调用数据上报到了
env.MARKET_BASE_URL。但我的lobe-chat-database实例内没有
MARKET_BASE_URL这个环境变量,那么数据去哪了呢?通过查看DNS解析记录/网络抓包后,我发现lobe-chat将数据传到了
https://market.lobehub.com,托管在cloudflare上(怪不得速度忽快忽慢!)。但这个域名,在lobe-chat的官方代码仓库(lobehub/lobe-chat)里是没有的,这又是怎么回事呢?通过排查lobe-chat-database容器实例,我发现这个域名记录在容器内的js文件中:...
View original post
