来自第三方资产的安全漏洞

*此内容使用人工智能(Beta)翻译,可能包含错误。若要查看英文页面,请点按 此处

来自创作者商店(工具箱)的第三方资产是安全风险的常见来源,因为它们可能包含叫做后门的恶意脚本。这些脚本使其创建者能够未经授权地访问您的体验的服务器端,从而操纵其状态、窃取敏感数据或干扰玩家的体验。

后门特别危险,因为它们通常出现在看似合法的模型中。一个看似无害的建筑或车辆可能包含一个在满足特定条件时激活的脚本,例如当特定玩家加入或执行特定命令时。当模型包含脚本时,这在插入前后会在工具箱用户界面中指示出来。

Roblox 主动和应对报告对模型进行恶意脚本的审查,但这个过程并不能保证删除所有这些脚本。

保护您的游戏

抵御后门的最有效防御措施是沙盒化。当您插入一个模型时,应将其脚本限制在沙盒内,以防止恶意代码访问敏感 API 或影响模型外部的系统。

  1. 将工作区中的 SandboxedInstance 设置为 Experimental
  2. 在属性窗口中,将模型的 Sandboxed 属性设置为 true
  3. 配置 Capabilities 属性,仅授予资产运行所需的特定权限。

特别小心授予第三方资产网络、数据存储、资产请求、能力控制或加载字符串的能力,除非您确切理解资产为什么需要它们。这些能力提供对后门通常利用的强大系统的访问。

在使用任何资产之前,请仔细检查它的脚本。特别注意混淆或不寻常复杂的代码。恶意行为者经常使用欺骗性技术来隐藏有害内容,例如在工作室编辑器中使用空白将恶意代码放置在屏幕外。考虑优先选择已经被其他开发者审核过的高评分社区资产,尽管请记住,受欢迎并不保证安全。有关配置脚本限制的全面指导,请参见 脚本能力

©2026 Roblox Corporation、Roblox、Roblox 标志及 Powering Imagination 是我们在美国及其他国家或地区的注册与未注册商标。