2026年1月21日,知名技术博客Xmrcat发布了一篇深度分析文章,揭示了Steam客户端中一个令人震惊的隐私机制漏洞。该漏洞的核心在于,用户在开启“隐身”或“离线”状态时,前端界面会呈现出已离线的视觉效果,但实际上后台的Connection Manager仍在持续向所有好友发送包含精确Unix时间戳的活动信号。这一机制使得好友能够实时掌握用户的真实在线状态,从而绕过了Steam预设的隐私保护框架。
这些隐藏的活动信号可以通过解析Protobuf消息包获取,其数据结构中包含了详细的时间戳信息。这意味着,任何具备技术能力的好友都可以通过分析这些数据,精准还原用户的上线、离线时间,进而推断出用户的日常作息规律、游戏习惯等高度敏感的私密信息。长期积累这些数据,甚至可能形成完整的用户行为画像,对个人隐私构成严重威胁。
在发现这一问题后,Xmrcat博主立即向Valve官方提交了安全漏洞报告。然而,令人失望的是,Valve在处理该工单时,竟将其标记为“仅供参考”后直接关闭,并未给予任何实质性回应。官方在回复中辩称,此类数据传输仅限于好友之间的信任关系范畴,属于用户可接受的隐私政策范围。但这一解释显然难以令人信服,因为漏洞的存在本身就暴露了Steam在隐私保护方面的严重疏漏。
这一事件再次引发了全球玩家对数字平台隐私安全的广泛关注。用户数据的滥用问题不仅关乎个人权益,更可能对整个数字生态的健康发展造成深远影响。目前,该漏洞信息已在网络安全社区迅速传播,预计将促使Valve重新审视其隐私保护机制,并采取切实有效的措施修复漏洞,保障用户数据安全。
