Steam遊戲《Screeps：World》自訂程式碼漏洞拖兩年未修遭批

即時戰略遊戲《Screeps：World》自 2016 年發售以來，由於其允許玩家自行編寫程式碼控制單位行為的功能，在 Steam 上吸引了超過十萬名玩家。不過，該遊戲中存在的一個漏洞，被發現已經兩年之久，才終於得到修補。

《Screeps：World》最大的特色之一是單位生成後並沒有內建 AI，玩家可以透過自訂程式碼來指引單位行動。然而，這項設計卻引發了一個嚴重的安全問題。遊戲中使用 JavaScript 指令`console.log`寫入程式碼時，如果被惡意利用，攻擊者能夠注入 HTML 標籤，自動執行惡意程式碼。一旦其他玩家找到這樣的單位，則該惡意代碼將會植入對方的電腦中，造成安全威脅。

這項漏洞之所以引發關注，是因為《Screeps：World》遊戲平台本身就具有直接存取用戶電腦檔案和系統權限的能力。因此，透過注入 JavaScript 腳本的方式即可輕鬆地對玩家電腦進行攻擊，無論對方防毒軟體多強都無法避免。

對於這個嚴重的資安漏洞，開發團隊起初並未馬上修復。他們表示，由於涉及玩家輸入的程式碼，認為這並非真正意義上的漏洞，要求玩家小心確認自己輸入的內容，同時指出開發團隊人力有限，正在忙於其他項目，而且尚未收到玩家因此受損的報告。

然而，國外資訊愛好者 Isaac King 在個人部落格上揭發了這個問題。他認為，由於`console.log`指令原本並不能解析 HTML 標籤，所以是遊戲開發者刻意修改所致。對於開發團隊拖延兩年才修補這個漏洞，Isaac King 表示非常不滿。

隨著這個漏洞被揭露，開發商最終在近期進行了修復。然而，這對於《Screeps：World》的 10 萬名玩家來說，意味著他們當初為了享受自訂遊戲樂趣而購買這款遊戲時並未料想到自己協助開通了一個後門，讓自己的電腦一度暴露於風險之中。