订阅转换 sub converter 这个漏洞有点厉害

真的是吓出一身冷汗。。。。幸亏我的 clash 配置是自己手动写得。这类配置都是通用的，别整得太复杂了，安全第一。

我是自用，简单写了个 web 程序，收到 HTTP 请求会调用 subconverter -g ，读取生成的配置并返回。

我感觉无所谓的，毕竟都知道利用 rce 的人了。应该不需要偷节点。即使需要，他也用不了多少。除非他批量卖出去。但是这个东西应该没什么人收吧。。。。
主要是部署转换的提供方需要注意。毕竟可能还部署了其他的服务。

@bao3 我也是自己写自己维护，不用这些转换

@Liftman 他这个不仅仅是偷节点，直接能拿到服务器 shell 。话说 subconverter 居然是 c++ 手撸的 http server 佩服。

@xausky 我知道啊。我就做安全的。我的意思是。已经 rce 了。节点他不在乎的。