你是否曾抱怨游戏里的AI太笨?Steam特别好评的独立游戏《Screeps》给了所有自认聪明的玩家一个“机会”:这游戏的单位根本没有AI,每一行行动指令都得你自己用Javascript写。

这本该是程序员的终极乐园,但最近一则爆料却让这款硬核作品变成了木马的温床。

在《Screeps》的联机世界中,玩家通过控制台查看单位日志。然而开发者为了省事,竟让控制台直接解析HTML。这意味着,如果你给自己的士兵起名叫,只要对手在控制台查看了你的单位名称,你的恶意脚本就能瞬间窃取对方的登录Token。

打开网易新闻 查看精彩图片

更恐怖的是,该游戏的Steam原生客户端完全没有沙箱保护。黑客只需一行代码:nw.require('child_process').exec('rm -rf /'),就能获得受害者电脑的最高命令行权限,直接删库跑路。

面对这种史诗级安全漏洞,开发者的反应简直令人窒息。他们在GitHub上冷冷地回应:“我们不认为这是严重的威胁。”甚至辩称,如果玩家因为运行了不理解的代码而被黑,那是玩家自己的错,就像你自己把毒药吃下去一样。

直到这则爆料在社交平台X上疯传,开发者才在几小时内火速上线了补丁,却依然在官推和邮件中坚称“这从来都不是漏洞”,甚至指责爆料者是在“恶意诽谤”和“骗点击”。

打开网易新闻 查看精彩图片

你是觉得开发者“真性情、崇尚自由”,还是觉得这种无视用户安全的行为简直就是行业之耻?评论区直接开火,咱们聊聊。