【安全警告】关于“米饭系列插件”远程数据库控制风险的通告
尊敬的服务器运营者、插件使用者:我们近日接到多起用户反馈,称“米饭系列”插件存在数据库控制权限下放至远程服务器的情况,已对多台服务器构成潜在风险。
经技术分析,确认以下行为存在:
插件运行过程中,会将数据库操作指令(包括数据读写、更新)请求发送至远程“验证服务器”,由其返回 SQL 指令在本地执行;
插件中使用的数据库类型主要为 SQLite,但部分环境中也可能影响 MySQL;
若远程服务器返回异常 SQL 指令(如 DELETE、DROP),本地插件将无条件执行;
此类机制存在被滥用的风险,可能对用户数据造成破坏,且用户对数据的控制权完全丧失。
我们理解部分开发者为防止盗版,会设置某种程度的远程验证机制。
然而,“米饭系列插件”在技术实现上不仅进行了验证,还对本地数据库进行了远程集中控制,包括数据的增删改查指令均来自远程服务器。
我们认为这种行为已经超出了“验证正版”的合理边界,原因如下:
即使出于反盗版考虑,也不应下发破坏性 SQL 指令,如批量删除服务器数据;
插件在安装和使用过程中,未明确提示用户其数据库操作会交由远程服务器处理;
对于正版用户而言,也无法保障数据的完整性和控制权;
社区应鼓励以授权机制、开源授权或商业验证方式防盗版,而非使用“远程操控本地数据”的方式。
我们的处理措施:
即日起在论坛全面下架“米饭系列”相关插件;
我们参考前MCBBS的措施,本着诚实透明的原则,封禁相关开发者账号600天。
建议使用该插件的服务器立刻:
停止使用该插件;
检查数据库和日志是否存在异常操作;
替换为具备代码透明性、明确权限声明的插件。
我们鼓励开发者与服务器维护者共同维护良好生态,
反盗版行为需合法合理,不能以牺牲用户数据安全为代价;
用户在安装插件前,请务必确认插件是否开源或可信;
如需授权控制,建议采用本地密钥机制或明确协议约束,避免远程注入指令方式。
如有进一步证据、申诉或反馈,欢迎联系纪念版管理组。
MCBBS纪念版管理组
2025年4月5日
页:
[1]