Valve 必须修复 Steam 的安全漏洞

Valve 面临一个安全问题，而且它再也无法忽视了。最近发现通过 Steam 抢先体验计划提供的游戏 Chemia 秘密传播恶意软件，这不仅仅是一个危险信号。它是一个闪烁的警报，警告我们 Steam 的系统已损坏——玩家正面临风险。

问题不仅仅在于 Chemia 含有恶意软件。还在于它发生得如此轻易，Valve 如此悄无声息地移除了这款游戏，以及该公司完全没有向下载过该游戏的玩家提供任何解释或帮助。如果 Valve 希望 Steam 继续被称为一个安全可靠的平台，它就需要开始像一个安全可靠的平台那样行事。现在，它正在失职。

Steam 的抢先体验是一个安全漏洞

坦率地说：Steam 的抢先体验区是一个漏洞。Valve 将其作为独立开发者在实际环境中测试未完成游戏的一种方式，这在理论上听起来不错。但实际上，它已成为一个盲点——黑客已经开始利用这个盲点。

Chemia 是今年第三款被发现传播恶意软件的抢先体验游戏。在此之前，还有 Sniper: Phantom’s Resolution 和 PirateFi。所有这些都通过了 Steam 的流程。所有这些都被允许进入平台，而没有经过适当的扫描。这不是偶然——这是一种模式。

Valve 可能会辩称抢先体验游戏是“买家自负”，但这在涉及恶意软件时并不是一种辩护。玩家不仅仅是下载了有 bug 的游戏。他们是在不知不觉中让黑客访问了他们的系统，包括加密钱包密钥和浏览器密码等敏感信息。这越界了——Valve 本应加以防范。

Valve 必须修复 Steam 的安全漏洞

比漏洞本身更糟糕的是 Valve 的回应方式。或者说，它没有回应。没有公开声明，没有向玩家发出警告，也没有努力帮助那些在 Chemia 被移除之前下载过它的玩家。该游戏的商店页面现在只是重定向到 Steam 的主页，就好像什么都没发生过一样。

这种缺乏透明度的做法是不可接受的。当发生此类漏洞时，任何平台的最低责任是通知其玩家。相反，Valve 悄悄地将其掩盖起来。这看起来像是损害控制，而不是损害预防。

该公司甚至拒绝承认发生的事情，这传递了一个错误的信息：安全漏洞可以悄无声息地处理，玩家不需要知道他们的数据何时面临风险。

Valve 必须修复 Steam 的安全漏洞

更令人不安的是这次攻击的幕后黑手。恶意软件被追溯到 EncryptHub，这是一个也被称为 Larva-208 的黑客组织，该组织与之前的全球网络钓鱼活动有关。这并非是偶然捆绑到游戏中的随机病毒。这是一次旨在利用对 Steam 平台的信任的协同攻击。

恶意软件不仅仅感染了电脑。它从Telegram 频道获取指令，从可疑域名下载更多有害文件，并在后台静默运行以避免检测。是的——它专门针对加密钱包数据。尽管 Chemia 不是一款 Web3 游戏，但其恶意软件显然考虑到了 Web3 玩家。

这意味着游戏和加密货币之间的交叉现在已正式进入黑客的视线。任何拥有数字资产的人在下载新游戏之前都应该三思——即使是来自受信任的平台。

Valve 必须修复 Steam 的安全漏洞

安全专家现在正在告诉人们扫描他们的系统并检查感染迹象。虽然这是一个好建议，但它也突出了更大的问题：负担正在转移到那些最初没有理由怀疑任何问题的玩家身上。

让我们明确一点——检查游戏文件是否存在恶意软件不是普通玩家的工作。这是 Valve 的工作。但现在，Steam 不仅未能阻止这些攻击，而且事后拒绝承认。这是领导力和责任的巨大失败。这种方法是不可持续的。Valve 越是将安全视为别人的问题，就越会招致黑客利用。他们会的——因为他们已经在这样做了。

Valve 并非一家资源有限的小型初创公司。它运营着全球最大的数字游戏平台之一。它拥有资金、人才和基础设施来实施更强大的保障措施、更好的检测系统以及处理此类事件的明确协议。

在 2025 年，允许含有恶意软件的游戏进入平台是没有借口的。不通知玩家是没有借口的。假装什么都没发生更是没有借口的。

Valve 需要清理其抢先体验计划。它需要引入实时恶意软件扫描，审核开发者上传，并对向在线游戏推送更新施加更严格的规则。当出现问题时，它还需要开始对社区诚实。

这无关完美。这关乎承担责任。