这孩子很不错。但我觉得这样往“天才少年黑客”的路子上报道，固然吸引眼球，也是媒体特别热爱的路子，但对他成长不是好事。另外，发未成年人照片需要得到监护人许可吧？

@宫一鸣cn ，有人在 Android 的 Busybox 上测试成功了，如图。不过不知道他的 Busybox 的版本是多少。如果 Busybox 没问题，或仅某个比较窄的版本区间存在漏洞，那多数网络设备可能还好，不过直接用 Bash 的那些还是比较悲剧。

回复@xidianlz: 千万别想当然。调用 shell 的网页数量极多，我看了初步探测的结果，确认受该问题影响的也绝不在少数，足以用来写蠕虫。 //@xidianlz:确实 感觉现在网页调用sh的太少了，并且权限控的比较死。我觉得这个漏洞应该是对网络设备影响比较大

Bash 的 CVE-2014-6271 这个问题，Busybox 也受影响。所以，除了 CGI（🔗网页链接）外，可能不少网络设备、安全产品等的远程控制台、串口控制台也会成为攻击点。没准利用这个就能突破你辛辛苦苦写的菜单界面，得到设备的 shell，没准还是 root 的。赶紧检查检查，出升级包吧。

可能会有人写自动攻击程序批量搞。*nix 系统很多长年不升级，用这个再配合自动 root 工具……