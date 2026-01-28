通常而言，當玩家們游完一款即時戰略遊戲時，往往會選取單位，然後再直接對那個單位下達指令，比方說前往礦場、攻擊敵人之類的。但偶爾我們也往往會因為比較笨的 AI 程式碼無法正確執行指令時而感到氣餒、生氣。Steam 上就有一款號稱沒有笨 AI 的即時戰略遊戲《Screeps：World》，自 2016 年發售至今已經賣超過 10 萬套。這款遊戲中當單位生成後並沒有內建 AI，玩家可以自己編寫程式碼來控制那個單位的行為而迴避「笨 AI」這件事，不過，卻被發現這個功能可能會讓有心人士直接駭進玩家的電腦，而遊戲開發團隊還沒有第一時間處理這個漏洞，只在日前後續修復，而 Steam 官方也並未回覆相關舉報。

(Credit:Screeps)

國外一位資訊愛好者 Isaac King 在自己的個人部落格上寫了一篇長文，揭露國外即時戰略遊戲《Screeps：Worlds》可能會讓玩家電腦被駭的漏洞。這是因為，《Screeps：World》與一般的即時戰略遊戲不同，單位生成後如同白紙一張，沒有任何 AI，所有的行為都必須由玩家自己透過內建的控制台完成，才能讓單位透過玩家撰寫的程式碼行動，例如必須給工兵「如果旁邊有礦藏就開採」這個指令，他才會採礦。

如此一來，玩家們就能自己控制單位的行為，避免即時戰略玩家總會覺得「原本的 AI 設計很笨」這件事，聽起來很棒。不過，問題恰恰由此而生。因為玩家在《Screeps：World》中也會透過 JavaScript 的 console.log 指令來寫程式碼，例如如果要單位報告搜索到的敵方的話就會是 console.log（"發現敵軍"+敵方單位名）。而為了讓冷冰冰的程式碼符合《Screeps：World》遊戲中複雜萬變的情況，因此遊戲開發者修改了這個指令，賦予了 console.org 能夠解析 HTML 標籤，並且自動執行的能力。

也因此，如果有玩家惡意的將自己單位的名字命名為一串 HTML 惡意指令程式碼，只要這個單位被其他玩家找到，就能自動觸發，直接將這段惡意攻擊程式碼植入其他玩家的電腦，達到攻擊其他玩家電腦的目標，再加上，由於 Steam 客戶端本身的架構，因此透過注入 JavaScript 腳本的方式就能直接存取受害玩家電腦的所有檔案、系統權限，形同讓《Screeps：World》的特殊機制直接變成漏洞，無論自己電腦的防毒軟體多強都沒用。

(Credit:Screeps)

而雖然開發團隊已經透過加上一行程式碼修正這個嚴重的資安漏洞，但他們仍認為，這並非他們遊戲中的問題：「由於這涉及玩家輸入的程式碼，因此我們認為這並非漏洞，玩家們應該要仔細了解自己輸入了什麼。並且，我們也是小團隊，資源非常有限，正在忙其他專案，而這個漏洞本身會造成問題的條件也很嚴苛，也並未收到有玩家因此受到傷害的報告。」

這點也讓 Isaac King 怒批，稱《Screeps：Worlds》的開發團隊根本知情：「因為 console.log 指令一開始根本就不能解析 HTML 標籤，他們是有意為之！」，直言開發商拖延兩年才修復這個漏洞真的超誇張。不過，這個漏洞目前已經被修復了，只是對於這款遊戲的 10 萬名玩家來說或許也難以想像，自己當初買下遊戲的決定沒想到會意外成為自己幫駭客開的後門，讓電腦一度暴露於風險中。