河北
你是否曾抱怨游戲里的AI太笨?Steam特別好評的獨立游戲《Screeps》給了所有自認聰明的玩家一個“機會”:這游戲的單位根本沒有AI,每一行行動指令都得你自己用Javascript寫。
這本該是程序員的終極樂園,但最近一則爆料卻讓這款硬核作品變成了木馬的溫床。
在《Screeps》的聯機世界中,玩家通過控制臺查看單位日志。然而開發者為了省事,竟讓控制臺直接解析HTML。這意味著,如果你給自己的士兵起名叫,只要對手在控制臺查看了你的單位名稱,你的惡意腳本就能瞬間竊取對方的登錄Token。
更恐怖的是,該游戲的Steam原生客戶端完全沒有沙箱保護。黑客只需一行代碼:nw.require('child_process').exec('rm -rf /'),就能獲得受害者電腦的最高命令行權限,直接刪庫跑路。
面對這種史詩級安全漏洞,開發者的反應簡直令人窒息。他們在GitHub上冷冷地回應:“我們不認為這是嚴重的威脅。”甚至辯稱,如果玩家因為運行了不理解的代碼而被黑,那是玩家自己的錯,就像你自己把毒藥吃下去一樣。
直到這則爆料在社交平臺X上瘋傳,開發者才在幾小時內火速上線了補丁,卻依然在官推和郵件中堅稱“這從來都不是漏洞”,甚至指責爆料者是在“惡意誹謗”和“騙點擊”。
你是覺得開發者“真性情、崇尚自由”,還是覺得這種無視用戶安全的行為簡直就是行業之恥?評論區直接開火,咱們聊聊。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
