Unity 游戲引擎近期被安全研究員 RyotaK 曝光存在一項高危安全漏洞，其官方漏洞編號為 CVE-2025-59489，這一發(fā)現(xiàn)迅速引發(fā)了游戲與軟件開發(fā)領域的廣泛關注。經(jīng)技術分析確認，該漏洞本質上源于不受信任的搜索路徑缺陷(CWE-426)，攻擊者可借助參數(shù)注入手段利用應用程序中不安全的文件加載機制，實現(xiàn)本地權限的非法提升，進而在受影響設備上執(zhí)行任意惡意代碼，存在竊取用戶機密信息等嚴重風險。在通用漏洞評分系統(tǒng)(CVSS)中，該漏洞評分達到 7.4 至 8.4 分(滿分 10 分)，屬于典型的高危級別漏洞，其中 Android 平臺面臨的風險最高，同時存在代碼執(zhí)行與權限提升雙重威脅，而 Windows、Linux 和 macOS 平臺則主要面臨權限提升風險。

　　從影響范圍來看，這一漏洞的波及面極為廣泛，所有使用 Unity 2017.1 及更高版本編輯器開發(fā)、并在 Android、Windows、Linux 和 macOS 操作系統(tǒng)上發(fā)布的游戲及應用程序均未能幸免，全球范圍內數(shù)百萬款已部署的相關作品都存在安全隱患。值得注意的是，即便是部分采用其他引擎開發(fā)的游戲，若其附屬功能(如高級版隨附的數(shù)字畫冊、藝術設定集等)使用了 Unity 技術，也同樣被納入受影響范疇。

　　針對這一緊急情況，Unity 官方已迅速采取應對措施。截至消息發(fā)布時，Unity 已在 2019.1 版本中完成了該漏洞的修復工作，同時為開發(fā)者提供了專用的二進制修復文件，允許開發(fā)者無需對現(xiàn)有游戲進行完整重編即可完成安全加固，這一舉措為維護中的老項目提供了便捷的補救方案。Unity 方面表示，目前尚無明確證據(jù)表明該漏洞已被攻擊者實際利用，也未收到用戶或客戶因該漏洞遭受損失的報告，但出于風險防范的嚴謹考量，官方仍強烈要求所有相關開發(fā)者立即行動，通過使用修復版編輯器重新編譯項目或應用二進制補丁的方式加固產品，并盡快分發(fā)更新后的版本。

　　漏洞曝光后，游戲行業(yè)上下游迅速聯(lián)動開展應急響應。多個知名大型工作室與獨立開發(fā)團隊第一時間啟動產品整改，其中黑曜石娛樂采取了較為謹慎的策略，將旗下包括《永恒之柱 2》《Pentiment》《禁閉求生 2》創(chuàng)始者版以及《宣誓》高級版在內的多款作品暫時從 Xbox 商店、PlayStation 商店及 Steam 等主流數(shù)字平臺下架，待漏洞修復完成后再恢復上架 —— 值得一提的是，《宣誓》本體雖采用虛幻引擎開發(fā)，但因附屬藝術集使用 Unity 制作，故其高級版本也需同步下架處理。Innersloth 旗下的熱門游戲《Among Us》與 Second Dinner 的《漫威終極逆轉》(《漫威 Snap》)等作品則已完成補丁更新，及時消除了安全隱患。

　　作為重要的平臺方，微軟與 Valve 也迅速出臺防護措施。微軟安全響應中心發(fā)布公告稱，其安全與游戲開發(fā)團隊正全力推進受影響作品的更新工作，并建議 PC 玩家暫時卸載未修復的游戲;對于已停止維護的老舊作品，微軟已啟動下架流程，涉及《Mighty Doom》《上古卷軸：傳奇》《Gears POP!》《Halo Recruit》《毀滅戰(zhàn)士(2019)》《爐石傳說》等眾多知名作品，以此避免用戶遭受潛在風險。Valve 則通過 Steam 客戶端的更新部署了針對性防護，當檢測到利用該漏洞的攻擊嘗試時，將直接阻止游戲啟動，為平臺用戶構建額外安全屏障，該防護措施已隨 10 月 3 日發(fā)布的 Steam 客戶端更新正式上線。此外，微軟 Defender 也同步更新了防護機制，可自動識別并阻斷與該漏洞相關的攻擊行為，形成多維度的安全防護網(wǎng)絡。