别点开！QQ这个新漏洞太离谱了，看一眼代码电脑就被远程控制

看到火绒这条公告的时候，我下意识把QQ窗口往旁边推了推——这年头，连看一眼聊天记录都能中招了？

事情是这样的。火绒安全团队昨天扔出一颗炸弹：腾讯QQ NT 9.9.25.42744这个Windows版本有个JS注入漏洞。听起来很技术对吧？简单说就是，攻击者往聊天框里塞一段特定的文本代码，你甚至不用点，只要眼睛扫到那条消息，代码就悄悄在你电脑上跑起来了。

是的，你没看错。不是让你下载什么奇怪的文件，也不是诱导你点开可疑链接，就是普普通通地”看到”那条消息。群里有人发，好友私聊发，甚至你翻历史记录的时候不小心瞥见——啪，中毒了。

火绒放出来的截图挺有意思。那段恶意代码在聊天界面里伪装成一张破损的图片，你以为是对方发的图裂了，其实背地里代码已经执行完毕。这种”披着羊皮的狼”的玩法，不得不说，攻击者的心理学学得比某些产品经理还好。

更吓人的是这漏洞能干什么。火绒演示了几个场景：获取你的计算机信息、读取IP地址、甚至直接调用摄像头拍照。想象一下，你正穿着睡衣瘫在椅子上刷QQ，突然摄像头指示灯亮了一下——不是腾讯在看你，是某个不知道躲在哪里的攻击者在调焦。

你的隐私？在人家眼里可能就是实时直播。

火绒已经紧急更新了病毒库，凡是涉及这个漏洞的文件直接查杀。但这里有个尴尬的副作用：因为QQ本身的文件被处理了，可能会导致你下次启动QQ的时候直接报错打不开。说白了，这就是个”要么可能被黑，要么暂时用不了”的选择题，怎么选都不舒服。

好在腾讯反应还算快，昨天已经推送了9.9.25_251203版本（版本号跳到42941），把这个窟窿给补上了。如果你还在用42744那个版本，建议现在、立刻、马上关掉QQ去更新——对，先关掉，别抱着侥幸心理再刷两条消息，谁知道群里会不会突然冒出一段”破损的图片”。

说实话，这种”看一眼就中招”的漏洞在即时通讯软件里出现，挺让人后背发凉的。我们习惯了在QQ、微信里接收各种链接、图片、文件，早就形成了”不点不明链接就安全”的肌肉记忆。但这次漏洞告诉你：连看都不安全了。

腾讯NT架构的QQ从去年开始全面替换老版本，界面确实现代化了，但新代码带来的新攻击面也接踵而至。这次漏洞藏在JS注入里，下次会在哪？作为用户，除了勤更新、装个靠谱的安全软件，好像也没有更好的办法。

你的QQ更新了吗？还是还在”裸奔”版本？建议去设置里看一眼版本号，如果是42744开头的那串数字，别犹豫，先升级再说。毕竟在这个时代，保护自己的第一步，有时候就是别做那个”看了一眼”的倒霉蛋。