CPUID官网被黑，4月9号下载的CPU-Z和HWMonitor带恶意软件。这就像debug一样，根节点被污染，整棵依赖树都脏了。

在非洲援建两年，见过基础设施单点故障如何毁掉系统，回来写代码更偏执：

1. 官网MD5别全信，同台服务器可能被一起改
2. GPG签名验证必须做，公钥指纹要交叉核对
3. 新工具先在air-gapped虚拟机跑一遍观察
4. 优先用包管理器而非直接下载.exe

供应链攻击是大公司噩梦，个人用户也别裸奔。대박，现在连看CPU温度都要零信任架构了。

sudo make me a sandwich