Мы не ставим/ставили целью полностью изолировать вложения от вредоносности. Пока достаточно поверхностной проверки файлов.
Офк изощренные методы красть данные и всовывать трояны всегда будут вне поля обзора. Но юзер должен понимать, что в интернете чуждый каждому.
Соглашусь, автообновление это не самое приятное в проприетарном ПО.
Один вариант - требовать от топикстартера указывать то, что в скрипте есть автообновление/необходимо подключение к внешнему серверу/сайту для получения каких-то данных. Если указано, то при скачивании уведомлять пользователя (бх) о такой возможности ПО, он будет скачивать на свой страх и риск. Если топикстартер не указывал информацию о том, что ПО должно получать информацию извне, то удалять на стадии модерации.
Второй вариант (для разработчиков, а не распространителей) - требовать полный исходный код к прилагаемому файлу, проверять хэш и отображать его для всех пользователей.
Из всех доступных нами вариантов (автоматическая модерация в "наиболее опасных" разделах, повторная премодерация темы при обновлении вложения и т.п.) выполнены. Остальное следует за пользователем и совестью разработчика.
Из всего этого можно сделать вывод о том, что у нас связь человек-человек. Файл заливает человек, файл проверяет человек, тему одобряет человек. В этой связи в любой момент может сработать человеческий фактор и связь может стать сломанной.
