Artikeln belyser en allvarlig säkerhetsbrist i Golang SSH-klienter där värdnyckelverifiering ofta saknas, vilket gör anslutningar sårbara för man-in-the-middle-attacker. En namngiven verktygsleverantör (HashiCorp) avfärdade problemet som "inte en bugg" och uppdaterade sin dokumentation för att reflektera att de inte stöder värdnyckelkontroll, med hänvisning till svårigheter och minimala fördelar med "Trust On First Use" (TOFU). Golangs underhållare agerade snabbt genom att införa en brytande API-ändring i x/crypto/SSH-paketet, vilket tvingar fram explicit värdnyckelverifiering eller en medveten avstängning av säkerhetsfunktionen. Författaren kritiserar verktygsleverantörens inställning och betonar vikten av att verifiera SSH-värdnycklar, särskilt vid anslutningar över det öppna internet, och nämner att vendoring av bibliotek kan försvåra säkerhetsfixar. Ändringen innebär att alla Golang SSH-klienter som använder x/crypto/ssh måste uppdateras för att hantera den nya säkerhetsstandarden, och de som väljer att förbli osäkra måste explicit markera detta i sin kod.