CSense(对共创世界CCW的安全审计工具)
Csense(亦称 CS)是一款针对共创世界(Co-Creation World,缩写 CCW)平台的安全审计工具,最初以闭源形式发布,后由开发者开源至 GitHub,主要用于审查 CCW 平台作品及后端接口的安全漏洞[1][2]。
| Csense | |
|---|---|
| 中文名 | Csense |
| 英文名 | CSense |
| 官方自述用途 | 安全审计工具 |
| 目标平台 | 共创世界(CCW) |
| 开发状态 | 原版不活跃,多为衍生版本[3] |
| 常见开源许可证 | AGPL-3.0 |
Csense 是一款面向 CCW(共创世界)平台的安全审计脚本/工具。CCW 是由成都普罗可布科技有限公司运营的青少年图形化编程创作社区,前身为西瓜创客旗下西瓜社区,于 2021 年 2 月正式对外开放。[4] Csense 最初以闭源形式流通,后因社区讨论及安全研究需求,开发者将其源代码公开托管于 GitHub,并声明采用 AGPL-3.0 协议。[2]
Csense 的设计初衷是审查 CCW 平台作品的安全漏洞。其功能覆盖对 CCW Data 云数据的读写操作、成就与排行榜数据的修改、经济合约(金币系统)的提取与操作,以及对已上架作品源码的提取分析。[5]
该工具可拦截并伪造 CCW 平台的部分网络请求,包括扩展加载、广播消息、用户数据校验等。由于 CCW 平台部分后端接口缺乏足够的鉴权与防篡改机制,Csense 可通过前端注入方式实现对作品数据、用户成就及经济合约的未授权操作[5][6][3]。
Csense 早期版本为闭源分发,仅在小范围内流通使用。后续开发者 FurryR 将其上传至 GitHub 并开源,衍生出多个社区备份与归档仓库(如 csensepro/CSense-pro、csense-rev/csense-rev 等)[2][7]。 开发者明确表示"不喜欢脚本小子和伸手党"(即不放出已编译),并声明该工具指出的大部分漏洞"不是前端修一修就能解决的"[2]。 截至 2025 年,开发者表示已无精力继续更新,但保留对反制脚本进行回应的可能性。
Csense 在 CCW 社区内被称为"小破挂",其滥用曾引发平台安全危机,被社区用户称为"小破挂时代"。 由于该工具可随意操作经济合约、盗取作品源码并伪造用户数据,共创世界 社区内曾呼吁创作者避免在作品中留存敏感信息、及时下架包含经济合约的作品,并采用开源与加水印等方式进行自我保护[8],且曾出现过“反CSense”[3][4][9][10][11];且官方认为其是违规的工具(或外挂),并在社区内打击,许用户被封禁999天。 开发者则坚持强调该工具仅用于安全审计,反对任何违法行为与滥用[12]。
一则“盗号扩展/改名扩展复苏”的文章在共创世界的创作者学院发布[13],另外,在部分论坛上也有相关的讨论[14]。主要描述了大量用户被传染扩展将社区昵称更改为“已黑入CCW总部,乐子CCW”[13][15],源于有用户在社区上发布了带有注入攻击相关的扩展,只要其他用户进入作品就会污染用户昵称、简介、个人介绍、标签、头像等,且该用户所参与的协作作品中的用户只要进入协作编辑器也可能会被污染,甚至有用户称与其使用社区评论等交流手段也会导致自身被污染(信息篡改)。
- ↑ CCW 社区安全 Q&A
- ↑ 2.0 2.1 2.2 2.3 GitHub - FurryR/CSense
- ↑ 3.0 3.1 3.2 noobsblock/CSense2: 一个 CCW 安全审计工具
- ↑ 4.0 4.1 了解 CCW 共创世界
- ↑ 5.0 5.1 CSense/FAQ.md - axolotlTFGS/CSense
- ↑ 这种危险的架构,将要迎来根本改变
- ↑ GitHub - csensepro/CSense-pro
- ↑ 为什么我们反对CSense?详解其危害
- ↑ 欢迎加入反CSense联盟!
- ↑ CSense的梦,该醒了
- ↑ 反对CSense!的主页 - 共创世界(ccw.site) - Scratch、游戏、动画、漫画、小说、编程创作社区
- ↑ 🕵️ 如何找到 vm 以及保护它——云冉的攻防小课堂
- ↑ 13.0 13.1 盗号扩展/改名扩展复苏
- ↑ 【紧急通知】共创世界CCW盗号扩展/改名复苏,安全事故 - 虚舟实验室小论坛
- ↑ 🚨 紧急安全通知:警惕“扩展替换”式盗号攻击(波及 CSense / CS 拦截器)