魔兽中的“命令行”骗术：这条代码能让你倾家荡产

­　　“插件通信接口”同样也是暴雪开发并提供给第三方插件开发者的合法功能，通过这个接口发送的信息不回显示在玩家的聊天框上。很多人都用过 DBM 插件，它的团队警报实现方式，其实就是团长的插件通过“插件通信接口”向团员发送信息，团员的客户端插件收到这些信息，呼出对应的事件警报，

­　　有些插件可以让插件通信接口的消息显示出来，大部分玩家看不到这些消息

­　　就这样，一条一条恶意代码发送到受害玩家的客户端里。即便玩家没有安装任何第三方插件，插件通信接口也是默认开放且无法关闭的，因为它是游戏运行的重要功能。

­　　骗子可以自己编写恶意代码通过插件通信接口发送

­　　所有代码的最终目标是完全劫持玩家的游戏界面。完成注入后，我们假定受骗玩家正在主城，骗子先找到他的准确位置，控制角色走到他的身边，通过插件通信接口发送代码，控制玩家的客户端启动交易，输入交易金额，点击确认。好了，你的钱都没了。

­　　整个过程最可怕之处在于，骗子取得了玩家界面的完全控制权，远端对界面的控制通过代码实现，在受骗玩家在本地是完全看不见的。

­　　新版本并未彻底解决这个问题

­　　再过一个月，《魔兽世界》最新的 7.0 版本《军团再临》就将正式上线；事实上，起过渡作用的“前夕”版本已经实装。最近，暴雪以及游戏在各国的运营商针对该漏洞推出了一个在线修正（hot fix），但并未彻底解决问题：现在在命令行中输入以 /run 或其他字段开头的脚本命令，会弹出一个对话框，提示玩家使用自定义脚本可能会导致游戏金币损失，询问是否继续。

­　　如果玩家选择是，当前的自定义脚本会执行，而且这个对话框不会再出现，之后的自定义脚本也会自动执行。

­　　该怎样保护自己？

­　　首先，不要输入 /run 开头的脚本命令。也不要贪，魔兽世界里没有任何隐藏代码能让你获得神装和隐藏坐骑。

­　　其次，只使用暴雪自带的插件，在自己信任的插件聚合网站，或者单独插件作者自己的网站下载插件，并更新过期的插件，不去不知名的小网站下载。第三方插件本身就有运行脚本的能力，你永远不知道自己的角色别人能也控制。