Der Hash
Das ist die SHA-256-Prüfsumme der install.sh, die wirken.ai/install.sh ausliefert:
73e678196ea073608e902c8ab11a01ede07e0d37fddccaa20c43fa5d62bd52f5Die Prüfung ausführen
Bevor Sie den Installer an sh weiterleiten, führen Sie aus:
curl -fsSL https://wirken.ai/install.sh | sha256sumDie Ausgabe sollte mit dem Hash oben übereinstimmen. Wenn ja, ist das Skript, das Sie ausführen werden, das Skript, das wir ausgeliefert haben. Wenn nein, führen Sie es nicht aus.
Was diese Prüfung leistet
Der Verify-Befehl hasht die Bytes, die wirken.ai Ihnen schickt, bevor irgendeine Shell sie interpretiert. TLS beweist bereits, dass der Transport intakt ist; der Hash auf dieser Seite gibt Ihnen einen Wert, gegen den Sie die Bytes vergleichen können. Beides zusammen schließt die Schleife: Das Netzwerk hat geliefert, was wir ausgeliefert haben, und was wir ausgeliefert haben, ist das, was Sie lesen.
Diese Prüfung sagt nichts darüber aus, wer wirken.ai kontrolliert oder ob install.sh selbst sorgfältig geschrieben ist. Sie sagt, dass das Skript, das Sie lesen, und das Skript, das Sie ausführen, dasselbe Skript sind. Der Installer übernimmt anschließend und verifiziert die Binaries, die er von GitHub herunterlädt, gegen eine Ed25519-signierte Checksum-Datei. Die beiden Prüfungen verketten sich: Diese Seite verifiziert den Installer; der Installer verifiziert die Binary.
Wenn der Hash abweicht
Entweder wurde install.sh aktualisiert und diese Seite ist noch nicht nachgezogen, oder etwas stimmt nicht. Die richtige Reaktion ist in beiden Fällen dieselbe: leiten Sie das Skript nicht an sh weiter. Öffnen Sie wirken.ai/install.sh in einem Browser-Tab und lesen Sie es. Die ausgelieferte install.sh ist kurz und in sich geschlossen; Sie können sie in wenigen Minuten per Augenmaß auditieren.
Installation ausführen
Sobald die Hashes übereinstimmen:
curl -fsSL https://wirken.ai/install.sh | sh