最近看项目“可信度”我就盯三件事：GitHub是不是真有人在干活、审计报告有没有写到痛点、升级多签是谁在按按钮。说白了，能不能在出事前就把锅分清楚。

GitHub那种只会改README、突然一堆空提交的，我就会有点警惕；审计也是，光贴个logo、没看到明确的风险项和修复记录，基本当没审过。多签更直观，签名人如果一堆匿名小号、权限还特别大，我宁可慢点过桥，手续费贵点也算买个心安。

最近又在聊某些地方加税/合规收紧，我发现大家对出入金预期一紧，反而更容易被“我们很合规/已审计”这句话安抚…如果当时我没多看一眼多签和升级路径，可能真就把“可信”当成了“好听”。先这样，疑心重一点不丢人。