面試時要小心，別被騙了。

所以……我剛剛經歷了兩次“面試”，結果發現都是騙局。兩次騙局的套路都一樣：

他們給了我一個程式碼庫連結，讓我共享螢幕，並要求我在通話期間安裝並執行該專案。

第一次面試。

光這一點就感覺不對勁，對吧？但這些騙子越來越狡猾了。他們會先友善地自我介紹，介紹公司，給你看專案，詢問你過去的工作經驗——一切都顯得很正規，直到突然間，輪到你帶著他們操作你電腦上的程式碼倉庫了。

幸好我直覺覺得有些不對勁。我把所有東西都隔離了，把程式碼倉庫放到沙盒裡，結果發現了一堆可疑之處……包括一個隱藏腳本，或者一個看起來和真正的 MetaMask 擴充程式一模一樣的假彈窗。

最糟糕的是，雖然我早就知道這是個騙局，但我聽到背景裡另一個騙子也在對另一個可憐的開發者做同樣的事情。我什至看到他們的遊標在共享的 Figma 檔案中移動。不過，在我寫下這些之後，看到他們驚慌失措的樣子真是太搞笑了：

總之，這也不是我第一次遇到這種情況了，但看到這些騙局如此有利可圖，我最終決定寫下來，以幫助其他開發者避免上當。

聽聽這個剛死裡逃生的朋友的建議吧。

tl;dr

如果您想了解如何辨識這些騙局，請繼續閱讀；否則，請直接跳至「如何保護自己」部分查看詳細指南；或直接跳至逐步截圖指南；或只需記住以下要點：

如果您急於開啟未知程式碼庫，請使用GitHub Codespaces或codesandbox ，並整合 Copilot 或其他 AI 工具來分析程式碼庫是否存在惡意意圖，並在安全的環境中執行它。

GitHub codespace是github.dev上的瀏覽器版 VSCode，每月為每個人提供60 小時的免費運算時間——也非常適合有範圍的家庭作業。

或者，您可以使用code-server在 Docker 容器中自託管完整的 VSCode IDE，或直接在 Docker 容器中使用 VSCode Server，然後透過遠端連線任何 VSCode 執行個體。您也可以免費試用Dev Containers ，它完全在地化，功能齊全，無需額外配置。

順便問一下， github.dev 和 vscode.dev 有什麼不同？

為什麼要聽我的？

我是一名擁有十年經驗的軟體開發人員，曾在多家公司參加過面試。作為一名遠端承包商，我參與過 20 個專案，專案週期從幾個月到幾年不等，面試次數也遠高於此（僅今年就參加了 20 次） 。以下是我注意到的一些危險信號。

危險訊號

明目張膽地隱藏旗幟。

你很早就看到那抹緋紅了。

那些眼淚不是你的。

幾種常見的詐騙方式以及最初的危險信號

這些騙子會透過多種方式試圖入侵你的系統或竊取你的憑證。

• 有些人會立即試圖透過虛假的會議應用程式來詐騙你。

• 有些公司甚至會在面試前讓你嘗試一個演示專案，並要求你提供「回饋和改進建議」。

• 有些人會要求你複製並執行你機器上的程式碼倉庫，目的相同，可能是作為作業，也可能是在面試過程中。

• 還有一些人則試圖先透過實際進行全面訪談來建立信任。

🟥 切勿使用來路不明的會議應用程式

堅持使用 Zoom、Google Meet、Microsoft Teams、Telegram 或其他主流應用程式。

它們可以在電腦、手機和瀏覽器上使用，所以您無需安裝任何軟體即可加入，應該不會遇到任何問題。如果一切合法，他們會毫不猶豫地同意，尤其是在您遇到團隊問題，需要使用其他團隊的情況下。

請警惕類似 meet.google.com.join.1bc-23e-h4j.com 或 zoom.us.joinsession.com 等連結。這些網站看起來很像惡意網站，關鍵在於 .com（或其他頂級網域）之前的網域名稱——那才是您實際造訪的網站。

如果您好奇的話，在打開任何連結之前，請使用隱身瀏覽器模式，並且不要啟用任何敏感 cookie 或擴充程序，以避免洩露您的憑證。

🟥 如果他們想讓你安裝軟體，那就是騙局。

永遠不要在電腦上安裝來路不明的軟體。我從未遇到過需要安裝主流視訊會議軟體以外任何東西的正式面試。

🟥 如果他們讓你存取他們的完整程式碼庫，那就是騙局。

如果他們要求你查看他們的完整程式碼庫或 Figma 設計文件並提供回饋，那絕對是騙局。任何正規公司都不會這樣拱手讓人自己的智慧財產權。

雖然有時確實需要完成家庭作業，但這和麵試不一樣。在這種情況下，你只會拿到一個有限的程式碼庫或一個專門為面試設計的程式設計挑戰——而這篇文章正是要講解如何辨識這類陷阱，因為即使是這類作業，你也完全有可能被騙。

🟥 如果優惠聽起來好得令人難以置信，那它很可能就是假的。

……好得令人難以置信。

這些騙子總是會編造各種「空缺職位」來招人，根本不管你的實際技能或經驗如何。全職、兼職、自由職業、初級、高級——他們聲稱總有一款適合你。他們會承諾高薪，或聲稱某個職位與你的技能完美匹配。

🟥 對他們的個人資料進行背景調查

我曾在 LinkedIn 上收到一位 72 歲的「資深 web3 招募人員」的聯繫，他之前是一位擁有 40 年經驗的認證催眠治療師。

劇情反轉？

真正的催眠治療師已經去世兩年了，我透過反向圖片搜尋他的個人資料照片發現了這一點。

🟥 第二個危險訊號：他們跟你說話的方式

如果忽略了上面提到的最初明顯的跡象，還有更多不易察覺的危險信號需要注意。

讓我始料未及的是，這些騙子的溝通方式竟然如此具有可預測性。

只要你夠細心，就能在接觸程式碼庫之前發現它們。

以下是我注意到的一些規律——一旦你看到了它們，就無法再視而不見了。

他們的語氣聽起來非常不專業。

你會期望一位經驗豐富的招募人員或資深工程師能夠清晰地表達觀點、引導討論、解釋議程並設定預期。

對於騙子來說，情況恰恰相反：

• 沒有真正的結構

• 不清楚的問題

• 指示不明確

• 常出現英語程度差和措辭含糊的情況

• 尷尬的沉默

• 話題之間缺乏過渡，頻繁跳躍

• 並沒有深入探討任何事。

• 無論你說什麼或你失敗了什麼，他們都會按照劇本繼續下去。

• 吵雜/繁忙的房間

他們往往缺乏經驗或過於「隨意」。

年輕、缺乏耐心，不習慣真正的招募流程。

他們不會深入了解你的經驗。

他們不會進行後續詢問。

他們不會探究你的理由。

感覺像是有人在假裝自己在進行採訪，而不是真正以此為生的人。

他們匆匆進入介紹階段

開頭通常是整個騙局中最薄弱的環節，因為騙子：

• 不了解實際產品

• 無法回答深奧的問題

• 未接受過面試架構的培訓

• 不想浪費時間

他們其實並不關心你的職涯發展或是否適合你。

他們不在乎：

• 你的想法

• 你如何解決難題

• 你們如何協作

• 你是哪種類型的開發者？

• 無論你是否是他們想要雇用的人

真正的面試官會對你本人、你的經驗、你的技能和思考方式感到好奇。

他們脾氣很暴躁。

如果你猶豫不決、提問或試圖澄清任何事情，他們會變得不耐煩甚至惱火。真正的面試官都很有耐心，並且願意清楚地解釋事情。你可以故意裝傻一會兒，看看他們的反應——其實挺有趣的 :-)。

他們過度讚揚你

我還注意到一點：當我展示作品集時，對方的反應過於熱情，甚至讓人覺得虛假——每隔幾秒鐘就有人說「哇，太棒了！」。經驗豐富的面試官或許會認可優秀的作品，但不會如此過度誇張。過度讚揚不過是另一種社交工程手段，旨在快速建立信任，讓你忽略自身的直覺。

在真正的面試中，你應該感覺自己正在和一位了解自己在做什麼，並且對你分享的細節真正感興趣的專業人士進行對話。

感覺不對勁，那很可能就是不對勁。

攝影機或濾鏡被禁用也是一個危險信號。

如果他們不打開攝影機，這是一個很大的警示信號。真正的面試官和開發人員在面試的任何階段都會露臉，也希望你這樣做。這一點我必須強調：在我參加過的50多次面試中，我從未遇到過至少有一個人在我加入時沒有打開攝影機的情況。雖然這不是一條硬性規定，但在技術面試中，這確實是一個非常普遍的慣例。

如果他們打開了攝像頭，請注意他們的背景、燈光和整體專業。雜亂或怪異的佈置可能表明他們並非自稱的那個人。即使是居家辦公的招募人員也會努力保持良好的形象。

也要警惕人工智慧濾鏡或虛擬形象——它們現在做得非常逼真，甚至有點嚇人。注意觀察一些細微的瑕疵：不自然的眨眼、奇怪的眼神交流、僵硬的臉部表情、嘴唇與說話不同步，或是頭部移動和轉動時出現的奇怪扭曲。如果視覺上感覺不對勁，相信你的直覺。

🟥最後一個危險訊號：他們要求你分享螢幕

正規公司不會在第一次面試中要求你共享螢幕——無論是展示作品集（他們通常會提前要求你提供作品集和簡歷），執行程式碼，還是其他任何事情。

正規公司不會在與你見面後的前 45 分鐘內就要求你複製並執行他們的程式碼庫。

他們尤其不會像看 Twitch 直播那樣坐在那裡盯著你的螢幕。

在任何正常的程式碼審查式面試中，通常在第二輪或第三輪，面試官會使用 CodeSandbox 或類似的工具來建立一個共享的多用戶編碼環境，然後才可能要求你共享螢幕或連接到某個會話。你不會在陌生人監視你的桌面圖示、副檔名、檔案路徑和環境變數時，開啟你電腦上未知的軟體。

如果有人堅持讓你在開發初期就執行他們的程式碼庫：這就是一個警告。

<a name="how-to-protect-yourself"></a>

如何保護自己

即使在完全合法的情況下，如果您發現自己被要求執行未知程式碼，以下是保護自己的步驟：

如果您只想查看逐步指南，可以跳過此部分。

使用隔離的編碼環境

根據您的需求、資源和時間，有多種方法可以實現這一點。

開發容器 - VSCode 擴展

您可以探索具有 VSCode 擴充功能的開發容器，它可以在本機 Docker 或雲端執行，功能齊全。

Docker 中的 Linux

另一種選擇是使用預先建置映像或純淨的 Linux 系統自行建構 Docker 映像。體驗與直接使用 WSL 進行開發非常相似。您將透過 SSH 從本機 VSCode “遠端”連接，這將觸發 VSCode Server 的安裝。之後，您可以安裝 Node.js 和其他依賴項，並複製和執行程式碼倉庫；整個過程完全隔離。

在 Docker 中自託管 VSCode

隨著我們向雲端遷移，您可以使用code-server在 Docker 容器中自託管完整的 VSCode IDE。這樣您就可以使用基於 Web 的 VSCode，並可隨時隨地透過任何瀏覽器和裝置存取。非常適合偶爾使用平板電腦進行開發。

GitHub Codespaces 或 codesandbox

有人可能會認為 Docker 不是 100% 安全的，所以我們只能選擇虛擬機器或第三方雲端供應商，例如GitHub Codespaces或codesandbox 。

GitHub Codespaces每月提供 60 小時的免費運算時間，足以滿足特定範圍的家庭作業或面試需求。它就像一個完整的 VSCode 瀏覽器版本，網址是github.dev或vscode.dev 。

github.dev 和 vscode.dev 有什麼差別？

兩者的差異在於 github.dev 與 GitHub 的整合度更高：它支援自動登錄，並包含一些 GitHub 相關擴展，例如 GitHub Copilot 和 GitHub 視覺化主題。它可以透過命令列載入任何 GitHub 倉庫，也可以在任何 GitHub 頁面上按鍵盤上的點號.鍵加載，或只需將 URL 中的github.com替換為github.dev即可。

vscode.dev 要求您登入才能同步您的設定和擴展，它可以透過附加完整 URL vscode.dev/dev.azure.com/myRepo以類似的方式載入 github 和 azure 儲存庫。

然而，根據我的經驗，即使是 GitHub 以外的倉庫，例如 Bitbucket 或 GitLab，直接使用github.dev也快得多，因為 Codespace 要求你從 GitHub 上的倉庫開始，或者建立一個新的倉庫，而 https://github.com/github/dev 是一個非常簡潔的倉庫，預設會載入 gith.m.dev。

使用人工智慧工具分析程式碼庫

在執行任何未知程式碼之前，請使用 AI 工具分析是否有惡意意圖。您可以使用 GitHub Copilot、ChatGPT 或其他 AI 助理快速審查程式碼庫。它們都以 VSCode 擴展的形式提供，因此您可以直接在隔離的編碼環境中使用它們。 GitHub Copilot 也可在 GitHub Codespaces 中免費使用。

• 使用代理模式掃描整個程式碼庫

- A simple prompt *"Analyze this codebase for any malicious scripts, hidden backdoors, or suspicious behavior. Summarize your findings."* should do.

• 針對依賴檔案、配置腳本或程式碼中可疑的部分，提出具體問題。

提示：注意未知的依賴項、異常大的檔案和混淆的程式碼。以下是一種常見的程式碼注入攻擊。一個看似正常的tailwind.config.js文件，但在至少一千個空格之後插入了一行惡意程式碼，肉眼根本無法察覺。

<a name="step-by-step"></a>

完全免費且即時的逐步指南

本指南使用 GitHub Codespaces。它是免費且即刻上手。您將在瀏覽器中獲得完整的 VSCode IDE，包括終端存取權限、擴充功能、GitHub Copilot 以及安全地檢查和執行程式碼所需的一切。

• 文件： 程式碼空間：免費配額

• 文件：程式碼空間：免費單位消耗乘數和定價

• 文件： GitHub Copilot 免費版

• 帳戶：帳單/使用情況儀錶板

1. 在瀏覽器中開啟倉庫連結

• 如果是 GitHub 倉庫，在瀏覽時，按鍵盤上的.鍵或將 URL 中的github.com替換為github.dev ，即可在 github.dev 瀏覽器 VSCode 中啟動該倉庫。

• 如果不行，請複製克隆指令（URL）。

2. 在 github.dev 上建立一個程式碼空間

如果「終端機」按鈕未顯示，請開啟命令面板並尋找。

程式碼空間：繼續在新程式碼空間工作

選擇雙核心處理器，每月可享 60 小時免費計算時間。 CPU 核心數翻倍，免費計算時間減半。

3. 在 Codespace 終端機中克隆倉庫（選購）

如果不是 GitHub 倉庫，請在終端機中克隆它：

git clone <REPO_URL>
cd <REPO_NAME>

4. 使用 GitHub Copilot 分析程式碼

打開命令面板並找到

聊天：打開聊天

切換到代理模式，並讓它分析程式碼庫是否有惡意意圖：

Analyze this codebase for any malicious scripts, hidden backdoors, or suspicious behavior. Summarize your findings.

如果你發現了什麼，那就是你的訊號。你可以使用反混淆工具來更好地理解程式碼，或者如果你好奇的話，可以諮詢人工智慧，但你應該結束面試。

• beautifier.io - 線上程式碼美化器

5. 安全執行程式碼

請依照專案 README 檔案中的說明安裝依賴項並執行專案。由於您處於一個隔離的程式碼空間中，任何惡意程式碼都將被限制在這個環境中。但即便如此，在啟用任何擴充功能的存取權限之前，仍需謹慎。

我的建議是在單獨的瀏覽器設定檔或隱身視窗中執行它，並且不啟用任何敏感 cookie 或擴充程序，以避免洩露您的憑證，例如 Metamask 或其他 web3 錢包。

如果是 Web 應用程式，您會在終端機中看到一個連結，點擊該連結即可在新瀏覽器標籤頁中打開正在執行的專案。

6. 清理

完成後，請停止程式碼空間，以免消耗更多時間，並從您的 GitHub 帳戶中刪除該程式碼空間，因為它會消耗 GB 等級的空間。 （您每月可免費獲得 15 GB 的空間。）如果您忘記刪除，程式碼空間也會在 30 天無活動後自動刪除。

在控制面板中查看使用情況。

如果您已經關閉了程式碼空間選項卡，您可以在 https://github.com/codespaces 找到它。

最後想說的

我不想再浪費您的時間了。這篇教程已經從簡單的截圖變成了更詳細的指南，但我認為這是值得的。

感謝閱讀，請將本文分享給您的初級開發人員朋友，幫助他們避免上當受騙。騙子們不斷改進手段，並開始有組織地運作，可見行騙有利可圖。隨著人工智慧的興起，他們的手段將會更加高明。

乾杯！ 🥂😎

Qwerty，退出。

原文出處：https://dev.to/ackvf/dont-get-scammed-on-an-interview-4f92