日前，Nuclear'Atk网络平安研究中心在其官网发布消息，称腾讯TM、QQ产品存在远程命令执行缝隙。黑客操纵该缝隙可直接通过QQ消息发送窗口，执行本地文件、命令，例如让聊天老友电脑关机、卸载某款软件，甚至格局化硬盘。

图：QQ聊天消息可执行命令

经测试，当黑客在QQ及TM窗口中发送特定格局的网址时，由于腾讯这两款IM软件存在该缝隙，致使受害用户点击链接网址之后会被当作路径打开，从而可以歹意执行一些法度、系统命令，造成严重平安隐患。

据爆料者阐发，造成该缝隙的原因或为腾讯挪用的API：ShellExecute。它的功能是打开exe文件、路径，或挪用与之关联的法度(例如：图片、音乐、网址等)，但在没有明确指定是文件仍是网址的情况下，Windows 会优先挪用可执行exe文件，从而致使用户以为自己点开的是网址，但实际上系统却优先执行的是代码指令。

实际上，这并不是QQ第一次爆出此类缝隙。3月21日，国内知名第三方缝隙平台“乌云”，就曝光了腾讯 QQ、TM 产品存在“远程读取内存数据缝隙、可致使远程溢出、谢绝办事抨击打击”缝隙。与之前缝隙相比，此次虽然QQ缝隙威胁水平略低，却也足以成为恶作剧者的利器了。

截至发稿时，腾讯官方已回应正在跟进该问题。在缝隙取得修复前，建议QQ用户切莫点击畸形网址，以免造成系统损坏。