來自創作者商店(工具箱)的第三方資產是安全風險的常見來源,因為它們可能包含被稱為後門的惡意腳本。這些腳本使其創建者能夠未經授權地訪問您的實例的伺服器端,從而操縱其狀態、盜取敏感數據或破壞玩家的體驗。
後門特別危險,因為它們經常出現在看似合法的模型中。一個看似無害的建築物或車輛可能包含一個在滿足特定條件時激活的腳本,比如當特定玩家加入或執行特定命令時。當一個模型包含腳本時,這會在插入之前和期間於工具箱用戶界面中顯示。
Roblox 會主動監管模型中的惡意腳本,並響應舉報進行處理,但這一過程不保證能移除所有此類腳本。
保護您的遊戲
對抗後門最有效的防禦是沙盒化。當您插入一個模型時,應該將其腳本限制在內,以防惡意代碼觸及敏感 API 或影響模型外部的系統。
- 將工作空間的 SandboxedInstance 設置為 Experimental。
- 在屬性窗口中,將模型的 Sandboxed 屬性設置為 true。
- 配置 Capabilities 屬性以僅授予資產運行所需的特定權限。
在未了解為何資產需要這些權限的情況下,對於第三方資產,特別小心授予 Network、DataStore、AssetRequire、CapabilityControl 或 LoadString 能力。這些能力提供對強大系統的訪問,而後門通常會利用這些系統。
在使用任何資產之前,仔細檢查其腳本。特別注意混淆或異常複雜的代碼。惡意行為者經常使用欺騙性技術來隱藏有害內容,例如利用空格將惡意代碼放置在畫面外,以便在工作室編輯器中查看時隱藏。考慮青睞那些經其他開發者審核的高評價社區資產,但請記住,受歡迎並不保證安全。要獲取有關配置腳本限制的全面指導,請參見 腳本能力。