Valve 須修復 Steam 安全漏洞

Valve 出現了安全問題，而且已無法再忽視。最近發現 Steam 的搶先體驗（Early Access）遊戲 Chemia 暗中散播惡意軟體，這已不僅僅是個警訊，而是響亮的警報，警告我們 Steam 的系統已損壞——而玩家正暴露於風險之中。

問題不僅在於 Chemia 含有惡意軟體。更嚴重的是事件發生的輕易程度、Valve 悄悄下架遊戲的態度，以及該公司完全沒有向下載了該遊戲的玩家提供任何解釋或協助。如果 Valve 想繼續將 Steam 稱為一個安全且值得信賴的平台，它就必須開始像這樣行事。目前，它正在失敗。

Valve 必須修復 Steam 的安全漏洞

Steam 的搶先體驗是個安全漏洞

坦白說：Steam 的搶先體驗區是一個漏洞。Valve 利用它讓獨立開發者在實際環境中測試未完成的遊戲，理論上聽起來不錯。但實際上，它已成為一個盲點——一個駭客已經在利用的盲點。

Chemia 是今年第三款被發現散播惡意軟體的搶先體驗遊戲。在此之前，還有 Sniper: Phantom’s Resolution 和 PirateFi。它們都悄悄地通過了 Steam 的審核。它們都被允許上架，而沒有經過適當的掃描。這不是意外——這是一個模式。

Valve 可能會辯稱，搶先體驗遊戲意味著「買家自負」，但當涉及惡意軟體時，這並不能成為辯護理由。玩家下載的不是僅僅有 bug 的遊戲。他們在不知情的情況下，將系統的存取權限交給了駭客，包括加密貨幣錢包金鑰和瀏覽器密碼等敏感資訊。這越界了——一個 Valve 本應守護的界線。

Valve 必須修復 Steam 的安全漏洞

Valve 的沉默是失職的

比這次洩漏本身更糟糕的是 Valve 的回應方式。或者更確切地說，是它沒有回應。沒有公開聲明，沒有警告玩家，也沒有努力去幫助那些在 Chemia 被移除前下載了它的玩家。該遊戲的商店頁面現在只會導向 Steam 首頁，彷彿什麼都沒發生過。

這種缺乏透明度的做法是不可接受的。當發生這種洩漏時，任何平台的最低責任就是告知其使用者。然而，Valve 卻悄悄地將其掩蓋。這看起來像是損害控制，而不是損害預防。

該公司甚至拒絕承認發生了什麼事，這傳達了錯誤的訊息：安全洩漏可以被悄悄處理，而且當玩家的資料面臨風險時，他們不需要知道。

Valve 必須修復 Steam 的安全漏洞

威脅不僅止於 Steam

更令人不安的是這次攻擊的幕後黑手。惡意軟體被追溯到 EncryptHub，一個也稱為 Larva-208 的駭客組織，該組織曾與之前的全球釣魚活動有關。這不是一個偶然混入遊戲中的隨機病毒。這是一次精心策劃的攻擊，旨在利用玩家對 Steam 平台的信任。

惡意軟體不僅感染了電腦。它從 Telegram 頻道獲取指令，從可疑網域下載更多有害檔案，並在背景中靜默運行以逃避偵測。而且——它專門針對加密貨幣錢包數據。即使 Chemia 不是一個 web3 遊戲，它的惡意軟體顯然是針對 web3 玩家的。

這意味著遊戲與加密貨幣之間的交叉點，現在正式進入了駭客的雷達。任何擁有數位資產的人，在下載新遊戲之前都應該三思——即使是從值得信賴的平台下載。

Valve 必須修復 Steam 的安全漏洞

Steam 不能再將責任推給玩家

安全專家現在建議玩家掃描系統並檢查感染跡象。雖然這是個好建議，但也突顯了更大的問題：負擔被轉移到了那些原本沒有理由懷疑有任何問題的玩家身上。

明確一點——檢查遊戲檔案是否存在惡意軟體不是普通玩家的職責。這是 Valve 的職責。但目前，Steam 不僅未能阻止這些攻擊——它在事後也拒絕承擔責任。這是領導力和責任的巨大失敗。這種做法是不可持續的。Valve 越是將安全視為別人的問題，就越是邀請駭客趁虛而入。而他們會這麼做——因為他們已經在這麼做了。