在安全牛的眼里，TwitterDeck的存在是Twitter为数不多的优于微博的地方，也是很多IT行业人士和营销人士不可或缺的强大社交情报监测工具。但是近日TwitterDeck的Chrome插件爆出跨站脚本漏洞，攻击者发出的含有特定脚本代码的推文被TwitterDeck接收后会自动转发，行为类似蠕虫，近年来已不多见。

据悉攻击者创建的包含XSS蠕虫脚本的推文（题图），目前已经被被自动转发了超过3.8 万次。，可谓是名副其实的“病毒营销”。

类似的攻击其实已有历史先例，2006年山米蠕虫（Samy Worm）就曾把MySpace搅得鸡犬不宁，类似的跨站蠕虫也曾在百度贴吧出现过。

一些安全专家将TwitterDeck的漏洞归咎于Twitter的客户端政策，Twitter从诞生到今天其客户端和API政策对于第三方开发者来说可谓翻脸无情，Twitter通过收紧API掐死了大多数第三方客户端，仅留下了TwitterDeck这个自家产品（通过收购），但种做法得罪了大批当初追随Twitter的开发者，也直接导致TwitterDeck之外再也难觅优秀的客户端。更糟糕的是，Twitter收购TwitterDeck后就将其打入冷宫，几乎停止了该产品的主要开发活动，这也意味着TwitterDeck的漏洞很难被即使发现和修补。

不过TweetDeck声称已经修复了这个漏洞，建议用户退出重新登录。此外，TweetDeck漏洞只波及Google Chrome浏览器插件，不影响桌面客户端，桌面端用户暂时不用惊慌。