【安全警告】关于“米饭系列插件”远程数据库控制风险的通告

MRTangwin8

尊敬的服务器运营者、插件使用者：

我们近日接到多起用户反馈，称“米饭系列”插件存在数据库控制权限下放至远程服务器的情况，已对多台服务器构成潜在风险。

经技术分析，确认以下行为存在：
插件运行过程中，会将数据库操作指令（包括数据读写、更新）请求发送至远程“验证服务器”，由其返回 SQL 指令在本地执行；
插件中使用的数据库类型主要为 SQLite，但部分环境中也可能影响 MySQL；
若远程服务器返回异常 SQL 指令（如 DELETE、DROP），本地插件将无条件执行；
此类机制存在被滥用的风险，可能对用户数据造成破坏，且用户对数据的控制权完全丧失。
我们理解部分开发者为防止盗版，会设置某种程度的远程验证机制。
然而，“米饭系列插件”在技术实现上不仅进行了验证，还对本地数据库进行了远程集中控制，包括数据的增删改查指令均来自远程服务器。

我们认为这种行为已经超出了“验证正版”的合理边界，原因如下：
即使出于反盗版考虑，也不应下发破坏性 SQL 指令，如批量删除服务器数据；
插件在安装和使用过程中，未明确提示用户其数据库操作会交由远程服务器处理；
对于正版用户而言，也无法保障数据的完整性和控制权；
社区应鼓励以授权机制、开源授权或商业验证方式防盗版，而非使用“远程操控本地数据”的方式。

我们的处理措施：
即日起在论坛全面下架“米饭系列”相关插件；
我们参考前MCBBS的措施，本着诚实透明的原则，封禁相关开发者账号600天。

建议使用该插件的服务器立刻：
停止使用该插件；
检查数据库和日志是否存在异常操作；
替换为具备代码透明性、明确权限声明的插件。

我们鼓励开发者与服务器维护者共同维护良好生态，
反盗版行为需合法合理，不能以牺牲用户数据安全为代价；
用户在安装插件前，请务必确认插件是否开源或可信；
如需授权控制，建议采用本地密钥机制或明确协议约束，避免远程注入指令方式。

如有进一步证据、申诉或反馈，欢迎联系纪念版管理组。

MCBBS纪念版管理组
2025年4月5日