Bitwarden CLI 2026.4.0遭到入侵

问题描述：

信源：Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain ...

C2：audit[.]checkmarx[.]cx

Bitwarden CLI版本2026.4.0因恶意GitHub Action攻击而遭到入侵，攻击者利用该攻击窃取敏感凭证并泄露数据。

处置建议：

轮换所有可能已暴露给这些环境的凭据，包括GitHub令牌、npm令牌、SSH密钥和CI/CD密钥。检查GitHub是否存在未经授权的仓库创建、.github/workflows/目录下是否存在意外的工作流文件、是否存在可疑的工作流运行、工件下载以及是否存在符合观察到的Dune主题暂存模式（{word}-{word}-{3digits}）的公共仓库。

如果认为自己可能受到影响，请检查新发布的仓库中是否存在以下关键字：

atreides cogitor fedaykin fremen futar gesserit ghola harkonnen heighliner kanly kralizec lasgun laza melange mentat navigator ornithopter phibian powindah prana prescient sandworm sardaukar sayyadina sietch siridar slig stillsuit thumper tleilaxu 网友解答：

---

--【壹】--：

Cli版本遭到入侵，是不是docker版本没问题呀？

---

--【贰】--：

还好懒癌犯了，前段时间开始用1password；

另外刚好请教下看到这的佬，1password每次重启电脑后/开机后都要输入自己的密码，可密码设置的非常长，很折腾啊，有什么办法只输入win hello的密码嘛

---

--【叁】--：

image469×145 10.8 KB
似乎没有好的办法

---

--【肆】--：

看起来使用密码管理器保存SSH密钥不是非常安全，还是继续使用安全密钥算了。

---

--【伍】--：

部署在内网加懒癌 似乎也不是一件坏事情

---

--【陆】--：

我在家就只用windows hello登陆啊

---

--【柒】--：

是的，用的docker方法部署的，在浏览器里用插件使用的

---

--【捌】--：

有个地方可以选不要求master password, 用windows hello代替的

---

--【玖】--：

docker版本意思是部署的vaultwarden？如果是的话就不会受影响