“安装一款免费游戏,3.2 万美元的抗癌捐款就没了。” 海外主播 RastalandTV 的遭遇撕开了游戏平台安全防护的裂痕。2025 年 8 月,Steam 平台上那款获得数百条 “特别好评” 的 2D 像素游戏《BlockBlasters》,通过看似常规的补丁更新,将 260 余名玩家的 15 万美元加密资产席卷一空。当游戏载体与恶意程序无缝融合,这场精心策划的盗窃案不仅暴露了平台审核的漏洞,更揭开了 AI 赋能下黑产犯罪的全新面貌。
一场针对 “高价值目标” 的精准狩猎
《BlockBlasters》的犯罪链条远比普通网络攻击更具迷惑性。这款动作冒险游戏凭借经典玩法收获玩家认可,上线两个月便跻身 Steam 热门免费游戏行列,“素质在线” 的表象成为最好的伪装。安全研究人员复盘发现,开发者的作案手法堪称 “精准狩猎”:先通过社交平台筛选持有大量加密货币的用户群体,以 “优质新游体验” 名义定向邀请下载,完成潜在受害者的初步筛选。
8 月 30 日推送的 Build 19799326 补丁成为作案关键。这个看似修复 BUG 的更新包,实则暗藏多个恶意文件,能够绕过系统防护扫描,悄然读取用户电脑中的加密货币钱包私钥、浏览器存储的登录凭证以及 Steam 账号的 ssfn 核心文件。与勒索病毒的暴力攻击不同,这种 “隐蔽窃取” 模式更难被平台审核察觉,恰好利用了 Steam 对增量更新的审查漏洞。
抗癌博主 RastalandTV 的遭遇极具代表性。他因公开募集加密货币用于癌症治疗而被开发者锁定,游戏启动后,其钱包内的捐款在数小时内被转移至匿名地址。更令人警惕的是,这类攻击并非个例 ——2025 年 2 月,Beta 测试游戏《PirateFi》就曾通过劫持浏览器 Cookie 实现 “无密码登录”,窃取玩家 Steam 点数等虚拟资产,两次事件如出一辙地指向 “开发者作恶” 的新型攻击模式。
平台审核困局:双因素认证为何失效?
2023 年 10 月,Steam 推行开发者双因素认证制度,试图通过 “密码 + 动态验证码” 的双重验证遏制账号盗用。微软数据显示,此类机制能阻止 99.9% 的账号接管攻击,但《BlockBlasters》事件却让这道防线形同虚设。问题的核心在于,攻击源头并非 “黑客盗用开发者账号”,而是开发者本身就是攻击者。
Steam 的审核体系存在天然短板。与 App Store 的预审机制不同,Steam 对新游戏的审核更侧重内容合规性,对代码安全性的检测依赖自动化工具,难以识别伪装成正常程序的恶意代码。更关键的是,平台对 “增量更新” 采取宽松政策 —— 新游戏上线时需通过多轮检测,但后续补丁仅进行基础扫描,这给开发者植入恶意代码留下了操作空间。2016 年曾有安全人员发现,通过修改 Session ID 即可绕过 Steam 审核直接发布虚假游戏,虽已修复,但暴露了平台底层机制的脆弱性。
这种 “先紧后松” 的审核模式在行业内普遍存在。App Store 曾多次出现老应用通过更新植入广告插件的案例,Google Play 也因增量更新审核宽松成为恶意软件传播温床。对于《BlockBlasters》这类 “先合规后作恶” 的游戏,自动化审核工具往往只能检测已知威胁特征,无法识别开发者精心设计的新型恶意代码。
AI 降维打击:黑产门槛的 “断崖式下跌”
《BlockBlasters》事件最值得警惕的变化,是 AI 技术正在让 “开发者变身黑客” 成为常态。以往制作恶意程序需掌握汇编语言、逆向工程等专业技能,而如今通过生成式 AI,即便是编程新手也能生成可用的病毒代码。安全公司 Check Point 证实,2024 年底出现的 FunkSec 病毒,其代码结构与 AI 生成特征高度吻合,印证了黑产对 AI 工具的规模化应用。
AI 正在重塑黑产的操作逻辑。开发者无需从零编写恶意代码,只需向大模型输入 “获取加密货币钱包信息的程序”“绕过杀毒软件的方法” 等指令,即可生成基础代码框架,再通过简单修改适配游戏环境。更危险的是,攻击者能利用 AI 生成逼真的游戏素材和评测内容 ——《BlockBlasters》的数百条 “特别好评” 中,有近三成被怀疑是 AI 生成的虚假评价,以此快速积累信誉欺骗玩家。
这种技术降维打击已蔓延至多个领域。重庆警方 2025 年破获的王某团伙案中,犯罪嫌疑人利用 AI 编写群控程序,为赌博、电诈等黑产提供技术支持,涉案金额达 500 余万元。在游戏领域,AI 不仅能生成恶意代码,还能模拟正常游戏行为掩盖攻击痕迹,使恶意程序更难被识别。Valve 显然未能跟上这种技术迭代,仍依赖传统防护手段应对 AI 加持的新型攻击。
玩家自保指南:在开放平台中建立 “安全屏障”
面对平台防护的滞后性,玩家亟需构建个人安全防线。结合《BlockBlasters》事件的教训,可从四个维度降低风险:
首先是 “开发者背调优先”。下载新游戏前通过 SteamDB 查询开发者历史作品,警惕无官网、无社区账号、无过往作品的 “三无开发者”。《BlockBlasters》的开发者此前无任何公开作品记录,这种异常信号本应引发警惕。
其次是 “权限最小化原则”。安装游戏时拒绝不必要的权限申请,尤其警惕 “读取文档”“访问网络” 以外的权限请求。加密货币用户应将钱包私钥存储在离线设备中,避免在安装未知游戏的电脑上操作钱包。
再者是 “更新监控与防护”。关闭非核心游戏的自动更新功能,更新前查看社区评论,若出现 “更新后电脑变慢”“账号异常” 等反馈立即暂停更新。同时安装具备实时监控功能的安全软件,360 安全卫士等工具可拦截读取 Steam 进程内存、劫持 DLL 文件等常见盗号行为。
最后是 “敏感资产隔离”。将游戏娱乐与金融操作设备分离,使用专用电脑存放加密货币钱包和重要凭证。开启 Steam 手机令牌等二次验证功能,即便账号信息被盗,也能通过动态验证码阻止登录。
结语:开放生态与安全防护的平衡之困
Steam 作为全球最大的 PC 游戏平台,其开放生态成就了独立游戏的繁荣,但也为安全风险提供了滋生土壤。《BlockBlasters》事件并非孤例,而是数字时代开放平台安全困境的缩影 —— 当技术创新速度远超监管和防护能力,攻击者总能找到突破防线的缝隙。
对于 Valve 而言,仅靠强化开发者认证远远不够,亟需建立 “全生命周期审核体系”:上线前增加人工代码审计环节,更新时启动动态行为分析,对高风险游戏实施实时运行监控。更重要的是,行业需建立恶意代码共享数据库,打通平台间的威胁情报,提升整体防护能力。
对于玩家而言,这场事件是一记警钟:免费游戏可能暗藏 “天价账单”,陌生开发者的 “善意邀请” 或许是精心设计的陷阱。在 AI 重构黑产逻辑的今天,保持警惕、掌握基础防护技能,才是应对未知风险的最有效手段。毕竟在虚拟世界里,真正的 “安全补丁” 永远装在每个人的意识里。
发表回复