谷歌的 Tavis Ormandy 最近发现了这个错误报告中指出的一个严重的 TrendMicro 设计缺陷 - TrendMicro node.js HTTP 服务器在 localhost 上侦听可以执行命令。

对我来说，错误报告就像斯蒂芬·金的小说一样，讲述了开放端口、远程执行、密码库提取和自签名证书的恐怖。Travis 要求升级使用评论“......这在默认安装中很容易被利用和发现，而且显然是可蠕虫的 - 在我看来，你应该找人来解决这个问题......”

我的问题是：鉴于这种现场防病毒产品的设计极其糟糕，考虑到这种信任被滥用的风险，现在是不是时候重新考虑给予这种产品系统级访问权限的价值了？至少现在不是对此类产品进行独立认证的时候吗？