所有Steam用户请注意,一个足以让全球玩家紧张的安全警报已经拉响。2026年7月3日,全球最大PC游戏平台Steam被曝出严重漏洞——CVSS风险评分高达9.0(满分10分),攻击者只需诱导你点击一个恶意链接,就能悄无声息地窃取整个账户的全部数据。更令人担忧的是,该漏洞具备蠕虫式自我复制传播能力,威胁程度直逼天花板。
该漏洞由白帽黑客Victor在漏洞赏金计划中率先发现。9.0分意味着什么?这几乎属于漏洞等级中的“顶级危险”,距离满分仅一步之遥,其对Steam账户安全的威胁可见一斑。

攻击手法极为隐蔽。攻击者会伪造一个看似正常的恶意链接,外观与正规的Steam商店页面或游戏页面完全一致,普通用户几乎无法察觉破绽。点击该链接后,页面会跳转至Steam首页,表面一切正常——然而,就在这看似无害的跳转过程中,你的个人数据已被悄悄传输给攻击者,整个过程毫无痕迹。
真正令人倒吸一口凉气的是:该漏洞具备蠕虫式传播机制。一旦某个账户被攻破,恶意代码会自动利用该账户的Steam好友聊天列表,向所有联系人发送同样的有害链接。这种自我复制与扩散的方式,意味着漏洞能在平台内部像滚雪球般快速蔓延,威胁等级瞬间拉满。

截至今天,Valve(Steam的母公司,估值约450亿美元)尚未发布任何官方修复补丁。这意味着该漏洞仍处于“裸奔”状态,数百万Steam用户的数据安全持续亮起红灯。
发现该漏洞的白帽黑客Victor并非新手——他曾多次参与Steam的漏洞挖掘工作,并协助修复过多个关键安全问题。在公开披露时他写道:“我在@Hacker0x01上进行漏洞赏金时,发现了一家估值450亿美元公司中的一个一键式严重(9.0+)蠕虫漏洞。”这句话看似平淡,背后隐藏的威胁却实实在在。
