云上全平台🦄️支持自动答题|题库搜|刷资源|刷视频|视频加速|快速背题|AI搜题|AI问答|截屏搜题 was reported 2026-05-12 for Missing, non-informative, or misleading description
该脚本在 Greasy Fork 托管版本的分析:
脚本中多处 get_quiz_result 函数体被替换为提示"因api被攻击暂不支持导入题库",引导用户"前往官网安装最新脚本"。这是典型的 freemium 策略。作者通过上传移除大部分危险代码的"落后"版本躲开审查,并引导用户前往其他平台安装未经审核的高风险脚本。
该脚本所谓的"官网最新版本"在Github上托管:https://github.com/11273/mooc-work-answer#
对 Github 托管版本的分析:
1. 远程代码执行(RCE)后门 — 严重
yilai.js 中存在混淆后的 window.eval 调用,配合 update.user.js:6496-6501 每天从 {MainIP}/json/all.js 拉取 JavaScript 代码存入 GM_setValue,然后由 yilai.js 的定时器自动 eval 执行。服务器运营者可以随时向所有安装了此脚本的用户推送任意代码。
流程:
服务器 metst.cn/json/all.js
→ GM_setValue("window.al_yun_xx", res.response) [每天自动拉取]
→ yilai.js setInterval 检测 [每50ms轮询]
→ eval(server_code) [无提示执行]
2. 隐藏追踪(51.la) — 高危
脚本在所有用户访问的页面(@match *://*/*)注入商业追踪服务 sdk.51.la,追踪ID 分别为 3G5Pk0eEh7wEuiuP 和 3G5PuX6Rrz5Czzff(两处注入)。README 声称"不收集隐私信息",却未声明此追踪行为。
3. 用户数据传输 — 高危
脚本向远程 meto 服务器发送:用户名、平台用户 ID、所在学校和课程平台信息、题库搜索内容及答案。通过 meto_api:31 以 MD5(email + salt) 生成用户唯一标识 poolId。
4. 代码混淆 — 中危
yilai.js 使用 XOR 位运算 + 十六进制转义字符隐藏 window.eval 引用:
(771383 ^ 771385).toString(130148 ^ 130116) → "e"
'\x74\x6f\x53\x74\x72\x69\x6e\x67' → "toString"
最终拼接为 window["eval"]
5. 过度权限 — 中危
@connect * 允许脚本连接任意域名,@match *://*/* 在所有网站运行,unsafeWindow 可读写页面 JS 上下文。
该脚本通过引诱欺骗的行为,恶意引导用户前往下载包含危险代码的版本。
此外,该脚本的 Greasy For k托管版本仍然存在风险:
1. eval(script) — U校园用户信息处(中危)
与仓库版相同,uschool_api.get_user_obj() 中直接 eval(script) 了 U校园 API 的 JSONP 回调响应。虽然 U校园是正规平台,但通过 eval 处理外部 API 响应是不安全的实践。
2. @connect * — 可连接任意域名(中危)
仍允许脚本向任意域名发起跨域请求,配合 @grant GM_xmlhttpRequest 权限过大。
3. 用户数据上传至 meto 服务器(中危)
与仓库版一致,所有平台适配器的 get_user_obj() 将用户 ID、用户名、所在平台名称通过 upladApi() 发送至 m.metst.cn。meto_api 中通过 CryptoJS.MD5(email + sal) 生成用户唯一标识 poolId。
This script has been updated since the report was filed.
This script has had 5 previous upheld or fixed reports.
alv002 (the reported user) has made:
This report has been upheld by a moderator.