技术博客Xmrcat于昨日（1月21日）发布报告指出
，Steam客户端存在一项隐私机制漏洞，私漏术流其“隐身”与“离线”状态可能仅是洞实动数一种“UI 幻觉”（UI illusion）。

　　技术分析显示，Steam后台的可提连接管理器在用户切换状态时并未停止运作。无论用户选择“隐身”或手动设置为“离线”，取好客户端仍持续向所有好友的隐友活终端发送即时活动信号
 。

　　该博客认为，私漏术流此机制不仅绕过了前端界面显示逻辑，洞实动数更实质性地削弱了平台所提供的锤技隐私选项功能，相当于将用户的可提实时在线记录持续推送至好友列表中的每一台设备 。

　　当用户状态发生变更（如登录或退出）时 ，取好Steam客户端会广播原始Unix时间戳的隐友活数据。对一般用户而言 ，私漏术流好友列表界面仍会将对方显示为“离线” ，洞实动数视觉上并无异常;然而在接收端 ，客户端软件已能准确获取用户“刚刚下线”或“刚刚登录”的精确时间信息 
。

　　潜在攻击者可通过拦截并解析ClientPersonaState的Protobuf协议消息负载，从中提取目标对象的真实活动数据。

　　若长期收集此类“隐形”的上下线时间戳，便可在用户毫无察觉的情况下，逐步绘制其睡眠周期、游戏习惯乃至日常作息图谱 。

　　Xmrcat已就该问题向Valve提交报告，并举例说明如何通过数据分析推断一名持续“隐身”数周好友的日常活动规律 。然而相关工单被标记为“仅供参考”后关闭
，Valve回应称这些数据包仅发送给Steam好友，在某种程度上基于双方既存的信任关系。