《最终幻想14》(Final Fantasy 14)存在一个技术漏洞——该问题已持续数月,其核心在于:游戏黑名单系统的更新本意是防止骚扰,却意外导致模组开发者能获取目标角色的所有关联账号信息,反而使玩家比以往更易受到侵害。史克威尔艾尼克斯(Square Enix)曾尝试修复但未成功。
截至发稿时,当玩家出现在搜索列表中时,FF14客户端会向其他客户端发送一组可被提取(但默认隐藏)的账号ID。虽然该ID经过多层混淆处理,但正如前文链接所示,其加密早已被破解。
史克威尔设计该系统的初衷值得肯定——即便骚扰者掌握了某人的账号ID(及其小号数据),仍无法在游戏世界中看到该玩家的角色。但现实情况却是第三开发事业部(Creative Studio 3)屡次未能达成预期效果。
此次风波的核心(现已终止)是名为“玩家视界”(PlayerScope)的模组——该工具将账号ID抓取至数据库供使用者查询。开发者Generall虽做出一些敷衍的隐私保护姿态(显然远远不够),例如建议被骚扰者主动提交ID以从系统中删除,但这相当于要求受害者向陌生人托付重要隐私,尤其对方正是导致风险升级的始作俑者。
目前“玩家视界”项目已关停。Generall在Discord频道宣布收到禁止令:“由于收到正式法律禁令,我决定永久终止玩家视界项目及其所有支持架构。”其声明显示已采取彻底清除措施:“网络后端已下线,所有存储数据(包括角色和用户记录)均被永久不可逆删除,插件文件已从GitHub和GitFlic完全移除,同时从我个人服务器彻底擦除。即日起我不再持有、维护或分发该插件的任何部分。”
事情就此结束了吗?遗憾的是并非如此。这不过是斩下了九头蛇的一个头颅,水下仍潜伏着更多隐患。问题在于,早在“玩家视界”曝光该漏洞前,很可能已有恶意分子掌握此技术——他们通过私人工具或第三方模组获取账号ID追踪受害者。
史克威尔叫停公开工具固然是积极举措,但仅靠发送禁令或温和劝诫远远不够。必须明确指出,这是开发团队的严重失误。虽然第三方工具违反FF14服务条款,但游戏编码绝不能建立在“无人违规”的假设之上。恶意行为者始终存在,保障潜在受害者的安全理应是史克威尔的责任。
