近日，科技領域傳出一則關于網絡操作系統鏡像分發工具iVentoy的安全警報。據悉，有用戶在Reddit社區和GitHub平臺上反映，iVentoy的1.0.2版本在Windows環境下的安裝過程中存在安全漏洞，這一消息引起了廣泛關注。

iVentoy，作為開源裝機工具Ventoy的衍生項目，由同一開發者在2024年6月推出。該項目旨在通過網絡分發操作系統鏡像，實現多臺計算機的同時啟動和安裝，極大地方便了系統管理員的操作。其操作簡便，只需將ISO鏡像文件放置在指定位置，客戶端選擇PXE啟動，即可通過網絡加載鏡像，并支持多種系統和啟動模式。

然而，正是這樣一個備受期待的工具，近日卻陷入了安全爭議。用戶反饋稱，在安裝iVentoy 1.0.2版本時，工具會安裝一個不安全的內核驅動程序，并附帶一個名為“JemmyLoveJenny EV Root CA0”的自簽名證書。這一發現引發了用戶的擔憂，因為類似證書可能被惡意行為者利用，通過修改簽名時間加載未經驗證的驅動程序，從而繞過Windows的安全策略。

根據VirusTotal的檢測，相關文件被標記為“惡意”，Windows Defender也發出了警告。這些檢測結果進一步加劇了用戶對iVentoy安全性的擔憂。

面對用戶的質疑和擔憂，iVentoy的開發者Hailong Sun（網名longpanda）迅速作出了回應。他解釋說，問題源于工具在WinPE環境中使用了開源項目httpdisk驅動程序來通過網絡掛載ISO鏡像。由于Windows默認要求驅動程序簽名，而開發者嘗試使用的已簽名httpdisk版本不被最新Windows系統接受，因此最終選擇了通過測試模式啟動WinPE來繞過簽名要求。

開發者強調，雖然這一做法確實存在安全隱患，但相關驅動僅存在于內存中，并不會安裝到最終系統。同時，他也表示已經在新版本1.0.21中移除了問題代碼及證書加載，以確保工具的安全性。

開發者還提醒用戶，在使用任何工具時都應保持警惕，并及時更新到最新版本以獲取最新的安全修復和性能改進。

盡管此次安全爭議給iVentoy帶來了一定的負面影響，但開發者迅速響應并解決問題的態度也得到了用戶的認可。未來，iVentoy能否重新贏得用戶的信任，還需看其在安全方面的持續表現。