这段时间在研究claude 想看看他的实力究竟有没有那么nb，于是乎就有了这个发现 
neovim未修补命令注入漏洞 中低危 相比vim在爆出来的不值一提 但对比我之前用国产ai做审计的时候 是从无到有的提升 
以下是分析 
CVE-2026-28417
详见 




这本身是vim的一个漏洞，但是neovim补丁不知道为什么没有同步过去，来看看fix了些什么 
 [image] 
关键文件位于 
runtime/pack/dist/opt/netrw/autoload/netrw.vim

在patch之前代码是这样的 
function s:NetrwValidateHostname(hostname)
    " RFC1123#section-2 mandates, a valid hostname starts with letters or digits
    " so r...