Unofficial site, not affiliated with modrinth.com.What is this?

Проверка модов и плагинов на хаки

Перед установкой плагина на сервер или мода на свой компьютер, лучше всего проверить файл на вредоносный код, шпионские действия, скрытые сетевые обращения и лишние команды. В конвейере — более 150 проверок байткода Java: бот отдаёт практически полный спектр того, что этот мод или плагин способен сделать на твоём ПК или сервере — до того, как ты его поставишь.

Сервис для проверки — бесплатно и с упором на безопасность твоего файла

Бесплатно

Пользоваться проверкой модов и плагинов можно без оплаты и без платной подписки «за доступ»: функциональность доступна каждому, кто зашёл в бота.

Файлы не копятся

После анализа исходник не висит у нас складом для кого‑то постороннего. Для повтора той же самой сборки хранится только хеш — восстановить по нему содержимое архива нельзя.

Понятный отчёт

Тебе показывают не одну строчку «чисто/грязно», а конкретные зацепки и приоритет: сеть, права, команды, классы и методы — при более 150 Java‑проверках по байткоду это даёт плотную картину. Дальше можно идти в jdec или к нейросети, если нужно.

Режим «глубокого исследования» с отправкой части подозрительного кода в OpenAI ты включаешь сам — об этом ниже отдельно. Основная линия разбора крутится на нашей инфраструктуре.

Мод или плагин (.jar)

Формат один и для клиента, и для сервера: внутри того же архива живёт Java‑код, который может звать интернет без твоего желания, трогать привилегии игроков, таскать лишние API и классы. Бот прогоняет сборку статическим конвейером из более 150 Java‑правил и собирает отчёт так, чтобы было видно практически полный спектр того, что этот файл вообще умеет заявить о себе: куда есть зацепки на вредоносное или шпионское поведение, какие есть сетевые и командные паттерны, что стоит руками перепроверить до установки. Это не процентный вердикт антивируса и не суды в чате — а рабочий снимок риска до того, как ты затронешь прод или свой ПК сборкой с непроверенной ссылки.

Как воспользоваться: зайди в бота по ссылке внизу страницы, пришли исходный .jar файлом-документом (не скриншотом и не пересборкой через «файлы картинкой» — именно файл). Дальше бот сам распакует нужное, прогонит правила и ответит в чате структурой находок и пояснениями; если это та же сборка второй раз, ответ можно получить заметно быстрее за счёт сохранённого хеша, без складирования тела архива у нас на дисках.

Как выглядит отчёт в чате

Ответ собирается в одном сообщении. Сверху — сводка по файлу: имя архива, размер, сколько классов прошло проверку, сколько всего было срабатываний правил и из них две шкалы — «безопасные» и «стоит проверить»: часть сообщений триггерит легитимные вещи (метрики, конфиги, загрузчик), часть действительно требует внимательного чтения. Ниже — хеш файла (xxHash64); по нему тот же файл при повторной отправке можно сопоставить без хранения самого содержимого у сервиса.

Каждый блок детали — текст предупреждения (например, консольные команды, выход в интернет, работа с папкой дополнений, рефлексия, операции с файлами, Base‑кодировки, динамическая загрузка классов, упоминание встроенной лицензии SpigotMC и др.), затем путь класса вида pkg/ClassName.class и методы вида execute, разделённые линией. Так же удобно переносить куски в jdec или в нейросеть, если нужно разбор политики конкретного места в коде.

В том же сообщении бот может добавить контакт поддержки для вопросов по тексту отчёта — смотри низ экрана в Telegram после полного вывода.

💾 JAR ExamplePlugin.jar
📏 Размер 115.4 KB
📋 Классов проверено: 66
⚠️ Срабатываний обнаружено: 10
   │ Безопасные: 8
   │ Стоит проверить: 2
🔐 Хеш файла (xxHash64): a9a6fb988524d0b8

⚠️ Файл может выполнять команды как консоль.
🚩 Класс: pkg/SomeFeature.class
⚙️ Метод: execute, execute
━━━━━━━━━━
⚠️ Файл подключается к сайтам.
🚩 Класс: pkg/metrics/Sender.class
⚙️ Метод: sendData
━━━━━━━━━━
💬 Есть вопросы? @…

У живых сборок блоков может быть заметно больше: одно и то же правило может сработать в разных классах и методах — отчёт старается всё их перечислить, чтобы ты сам решил по контексту плагина.

Глубокое исследование

Дополнительный анализ .jar мода или плагина с привлечением нейросети — когда базовых проверок недостаточно.

Нейросеть

Используется GPT от OpenAI для разбора фрагментов подозрительного кода.

Как это работает

  • Часть проверок может запускать глубокое исследование.
  • Подозрительные фрагменты отправляются в нейросеть для более детального разбора.
  • Ты получаешь расширенное объяснение потенциальных рисков.

Что может уходить в нейросеть

  • подключения к сайтам;
  • использование команд и работа с правами в плагине или моде.

В настройках бота можно включить или отключить глубокое исследование. Для максимальной осторожности его лучше оставить включённым, если ты готов отправлять отдельные подозрительные фрагменты в OpenAI по описанному сценарию.

Политика проверки

Можно быть спокойным: мы не копим содержимое твоих файлов после проверки и не даём никому их скачивать как «архив».

  • Файлы на сервере не хранятся — после проверки удаляются, доступа к содержимому извне нет.
  • Для повторной проверки того же файла сохраняется только хеш (контрольная сумма), по которой нельзя восстановить jar целиком.
  • Отчёт строится по приоритету: самые подозрительные находки показываются первыми.
  • Основной анализ выполняется на нашей инфраструктуре. Отдельно: при активном режиме «глубокого исследования» выбранные фрагменты подозрительного кода отправляются в OpenAI для разбора, как описано выше.

Если не понимаешь результат

Бот отмечает подозрительные классы и методы, например блоки вида «подключение к сайтам» с указанием класса и имени метода.

Открой .jar через jdec.app, чтобы посмотреть исходник этих мест. Если с Java не дружишь — можно вставить фрагмент метода в любую доступную тебе нейросеть (ChatGPT, DeepSeek, Claude и т.д.) и попросить объяснить, что делает код.

Перейти к боту в Telegram

Ресурспаки: утилита перепака (для разработки)

Это не часть проверки на хаки. Отдельная функция для работы с контентом: например, взяли с сервера Minecraft ресурспак, защищённый софтом вроде Praxelis или IA — когда текстуры из архива нормально не выдернуть, бот может перепаковать файл. В настройках включи модуль «Ресурспак» и отправь пак документом.

Зачем проверять моды и плагины на хаки

Скачанный с каталога .jar может выглядеть безопасно, но внутри допускается всё то же, что и в любой программе на Java: скрытые запросы наружу, команды под видом админ-права, утечка данных с сервера или с машины игрока. Для модов Minecraft (Fabric, Forge, NeoForge, Quilt и др.) и для серверных плагинов (Bukkit‑совместимые ядра, гибридные решения) риск один — компрометация среды, в которую ты файл кладёшь.

Никакой модрепозиторий не даёт полной гарантии того, что в сборке не окажется вредоносный или просто опасный по политике сервера код: автор меняется, сборки пересобирают, в цепочку попадают репосты. Имеет смысл отдельно проверить jar на хаки и типичные бекдор-паттерны — так ты видишь сигналы (сеть, привилегии, подозрительные классы) до того, как игроки или твоя система уже пострадают.

На Modrinth содержание ресурса проверяют только перед первой публикацией. При обновлении ресурса повторной такой проверки нет: новый .jar не получает тот же ручной разбор, что при первой публикации — остаются автоматическая проверка, жалобы и реакция модераторов на них — не без ошибок и не без пауз между этапами. Если проект давно на площадке, это не повод доверять последней версии без своей проверки: каждый скачанный архив лучше прогонять отдельно, особенно после выхода обновления.

Главная