好评游戏BUG能让玩家电脑被黑!却遭官方回怼:菜!

你是否曾吐槽过游戏里ai蠢得离谱？steam上收获特别好评的独立神作《screeps》干脆甩给你一张白纸：这里压根没有预设ai，每个单位的每一步移动、每一次攻击、每一句交互，全得你亲手用javascript一行行敲出来。

听起来简直是程序员的梦想照进现实——可最近一次安全事件，却让这款硬核沙盒意外沦为恶意代码的跳板。

在《Screeps》的多人服务器中，玩家可通过浏览器控制台实时查看己方或敌方单位的日志信息。但开发者为图开发便捷，竟让控制台直接执行HTML解析逻辑。后果显而易见：只要你把一个 creep 命名为 ，一旦对手点开你的单位详情，这段脚本就会悄然触发，将其登录Token偷传至外部服务器。

更令人脊背发凉的是，其Steam原生客户端完全未启用任何沙箱隔离机制。攻击者仅需注入一句 nw.require('child_process').ehttps://www.php.cn/faq/xec('rm -rf ~')，即可绕过所有前端限制，在用户本地系统中执行任意命令——删文件、读密码、种后门，一气呵成。

面对如此高危漏洞，官方的回应堪称教科书级冷漠：GitHub Issues 中冷冰冰写道：“我们不视其为严重风险。”并进一步类比称，“运行你不理解的代码导致失窃，就像主动喝下不明液体中毒一样，责任在使用者自身。”

直到该问题在社交平台X上引发大规模传播，团队才在数小时内紧急推送修复补丁。然而讽刺的是，他们在官方推特与致用户邮件中仍坚称：“这从来就不属于安全漏洞”，甚至反指爆料者“蓄意抹黑”“靠制造恐慌博取流量”。

你是欣赏这种“代码即自由、风险自担”的极客哲学，还是认为放任用户裸奔于危险边缘，早已越过了开发者的基本底线？评论区等你开麦。

以上就是98游戏小编为大家带来的全部内容，想了解更多精彩请持续关注本站。