ARC Raiders翻车！玩家私信与令牌泄露事件曝光

18 2026-03-06

当你为了领取《ARC Raiders》的联动皮肤，顺手把Discord账号绑进游戏时，可能从没想过这个“日常操作”会变成一颗“隐私定时炸弹”——你和朋友的私人Discord私信、甚至能直接登录账号的Bearer令牌，正明文存放在你电脑的游戏日志文件夹里，等着任何能接触你设备的人“一键查看”。独立安全工程师Timothy D. Meadows的技术分析，撕开了这款去年爆火射击游戏的隐私漏洞：当玩家关联Discord账号后，游戏集成的Discord SDK会自动捕获两名玩家之间的私信内容，并完整写入本地日志文件，更危险的是，同一文件里还存着Discord Bearer身份验证令牌——这个令牌相当于Discord账号的“万能钥匙”，拿到它的人不需要密码就能直接登录你的账号，查看所有私密聊天、冒充你在服务器发言，甚至篡改你的频道权限。 “这些信息完全没加密，打开文件夹就能直接看到你和朋友聊的‘吐槽游戏平衡’‘约开黑’的内容。”Meadows强调，“如果你的电脑送修、账号共享给朋友，或者游戏崩溃时自动上传了日志，这些隐私就会直接暴露给第三方。” 这不是游戏行业第一次栽在第三方SDK的“过度记录”上，去年某款月活超千万的生存游戏，就因集成的社交SDK偷偷抓取设备IMEI和通讯录，被欧盟数据保护委员会罚款200万欧元——而Discord SDK由于覆盖了近80%的多人在线游戏，一直是隐私漏洞的“高发区”，很多开发者为了快速上线“一键联动”“聊天同步”功能，往往跳过对SDK权限的“最小化校验”，导致“原本用来提升体验的工具，变成了隐私泄露的缺口”。 Embark Studios的反应算快，事件曝光当天，开发团队就在Discord社区承认“Discord SDK的日志功能设计有误，记录了不必要的用户信息”，并紧急推送热修复补丁禁用了该功能，但官方的“定心丸”没完全打消玩家疑虑：“未发送至设备外”能抵消“未经告知就记录隐私”的问题吗？“从未查阅”的承诺，又怎么证明？ 有玩家翻出当时关联账号的Discord协议，里面根本没提“会记录私信或令牌”——直到热修复后，测试玩家发现原本的“Logs”文件夹里，Discord日志文件彻底消失了，这更让人生疑：如果没被曝光，这个“过度记录”会藏多久？又有多少玩家的隐私已经被记下来？