另類“私家偵探”的工作日記，往返于現(xiàn)實與虛擬游戲世界

“黑灰產(chǎn)”一詞是對網(wǎng)絡(luò)領(lǐng)域的違法犯罪活動的通俗概括。一般來說，黑色產(chǎn)業(yè)指的是從事具有違法性的活動且以此來牟取利潤的產(chǎn)業(yè)。而灰色產(chǎn)業(yè)則指的是不明顯觸犯法律和違背道德，游走于法律和道德邊緣，以打擦邊球的方式為“黑產(chǎn)”提供輔助的爭議行為。

數(shù)月前，一個帶有“外掛販賣”字眼的賬號浮現(xiàn)在游戲玩家排名榜的首位，充值百萬元的玩家反而在對戰(zhàn)中被無情碾壓，成為最終輸家。排行榜反映著玩家的綜合實力，利用了漏洞的作弊勝之不武，前所未有的失序事件發(fā)生了。

這讓游戲開發(fā)商大為惱火。在游戲行業(yè)，這樣的現(xiàn)象無疑是在挑戰(zhàn)游戲創(chuàng)作者，玩家的抱怨也會接踵而至，被稱為 “平衡性”的游戲原則打破。黑灰產(chǎn)是整個行業(yè)揮之不去的噩夢，也是需要長期面對的問題。

近年來，游戲安全的保護(hù)正在不斷增強，不少措施有助于保障游戲的公平性。不過作弊率與工作室數(shù)量仍舊居高不下，其原因在于，寄生于人氣游戲所帶來的高回報，讓黑灰產(chǎn)拼命進(jìn)化，對全新的作弊工具和技術(shù)趨之若鶩。

01無本萬利的“黑”科技

游戲作弊，可以是“在游戲中開掛”，也可以是“在沙盒生存游戲中用控制臺調(diào)出無限的資源”，或是“在射擊游戲中穿墻、透視、自動瞄頭”，在心理快感的背后，自始至終籠罩著黑灰產(chǎn)的影子。

圖 | 針對某一游戲的黑產(chǎn)工具

張本梁帶領(lǐng)著駐守游戲安全的技術(shù)團(tuán)隊，針對潛在黑灰產(chǎn)的一舉一動出具若干分析報告，一起開會討論新的方案，在安全架構(gòu)上做出板塊化調(diào)整。

網(wǎng)絡(luò)安全“白帽”出身的張本梁一畢業(yè)就投身到游戲安全守護(hù)中，從端游到手游，在游戲類型變遷的同時，工作也迎來了技術(shù)和任務(wù)上的新挑戰(zhàn)。

從業(yè)近10年的他也介紹道，讀書時身邊不乏通過“黑”游戲獲得財富自由的事跡。受到金錢的誘惑，也有技術(shù)人員選擇帶上黑色面具。在飽受黑灰產(chǎn)覬覦的游戲領(lǐng)域，專業(yè)人士之間的對抗是漫長的，經(jīng)歷了不同年代的轉(zhuǎn)換。其中有二波浪潮讓其印象深刻，一波是搞私服，一波是搞盜版。

初代游戲黑灰產(chǎn)們，拿到源代碼后，通過服務(wù)器掛機、托管等手段實現(xiàn)24小時全天候、跨地域運營，頻繁更換游戲域名和IP地址，降低被識破機率，開啟了長達(dá)數(shù)年的運營。

另一種情況是，隨著智能手機的普及，移動互聯(lián)網(wǎng)逐漸起跑，大部分應(yīng)用商店對游戲?qū)＠膶徍瞬⒉粐?yán)格，發(fā)布相對自由。從海外抓取一批游戲包，將其搬運至國內(nèi)，通過在免費游戲中植入廣告，是當(dāng)時游戲黑灰產(chǎn)團(tuán)伙的常規(guī)操作。

在游戲相關(guān)法律法規(guī)日益完善的今天，游戲版號審批、進(jìn)口游戲?qū)徟μ摂M資產(chǎn)保護(hù)等管理機制相繼出現(xiàn)，松動了黑灰產(chǎn)的根基。

縱然游戲受到了法律的保護(hù)，在網(wǎng)絡(luò)上依然隨處隱藏著風(fēng)險，黑灰產(chǎn)的操作層出不窮。通過制作自動化腳本代替人工去做一些重復(fù)的線上操作，這是如今黑灰產(chǎn)的慣用伎倆，也是外掛的底層邏輯。“不只是游戲中搶資源、完成任務(wù)，也可能是自動點擊、自動建群、批量點贊，幾乎零成本?！彼l(fā)現(xiàn)。

在今天，“打金工作室”形式大行其道，利用設(shè)備組與自動化軟件在游戲中批量操作，各類虛擬游戲資源積少成多。不論是淘寶店鋪售賣的游戲幣和道具，還是社群中兜售的定制化腳本，都說明這場對抗將持續(xù)下去。

02虛擬世界的隱形對抗

游戲世界由一連串的虛擬數(shù)字編織而成。虛擬世界里的每一個角色，背后都是真人在操控。在虛擬空間內(nèi)，借助互聯(lián)網(wǎng)工具犯罪，不受時空限制，讓緝查對抗變得很抽象，也給了黑灰產(chǎn)來去自由的便利。

“怎么樣定義一個團(tuán)伙，其實也是一個難題?！睆埍玖罕硎荆蟛糠謱故加谝捽檶ほE。

在平時，游戲安全工程師得像一位專業(yè)的偵察人員一般，考察輪胎痕、鞋印、血跡一樣，在犯罪現(xiàn)場尋找蛛絲馬跡。對他們而言，這些證據(jù)非常隱蔽，來源于腳本、環(huán)境與行為共同性。在符合隱私政策和安全保護(hù)的情況下，張本梁和團(tuán)隊將放大鏡著眼于運行數(shù)據(jù)之中，每日致力于找到更多外掛。

圖 | 代碼中修改戰(zhàn)斗結(jié)果

“入侵也好，修改也好，總會留到有一些痕跡。”他說，基于一些技術(shù)手段就能感知到一個工作室存在與否，主要有幾個維度。

一是腳本。正常玩游戲都需要用手點擊，腳本相當(dāng)于一種外掛工具，它可以自動模擬人類的點擊，進(jìn)行一些操作?，F(xiàn)在的腳本更成熟了，它不僅僅是模擬的點擊，還用上了一些深度學(xué)習(xí)的算法，甚至可以模擬人類的思考，邏輯判斷更復(fù)雜。有了AI的助力，腳本能根據(jù)游戲當(dāng)前的場景與階段，做一些智能的操作。

二是環(huán)境。工作室的環(huán)境還比較好區(qū)別，一類是模擬器多開環(huán)境，二類是云手機環(huán)境下，三類，手機墻，相當(dāng)于有很多手機。它可能通過腳本、多開，甚至還有一些群控的存在?？疾飙h(huán)境的特征去做一個初步的定位，排除風(fēng)險。

三是行為的共同性。依據(jù)作弊玩家在行為操作上存在的一些共性，安全工程師們把風(fēng)險圈出來，如幾十人個人的玩家存在相似作弊行為，就形成一個團(tuán)伙。

除了客戶端的檢測邏輯，技術(shù)人員往往還利用AI技術(shù)發(fā)現(xiàn)行為聚集，以及來自運營人員的確認(rèn)。在三項工作之后，游戲方的二次核驗才是最終定論。

張本梁也指出，如果一刀切處理嫌疑賬號，有可能誤傷毫無過錯的正常玩家。作為第三方安全公司，更要謹(jǐn)慎考慮避免錯誤判斷，再三確認(rèn)后，才能夠把團(tuán)伙給發(fā)現(xiàn)。

03一個禮拜上線安全包

有時候，對抗發(fā)生前并沒有任何事先的預(yù)兆，宛如地震一樣讓人猝不及防。在以往的突發(fā)事件中，團(tuán)隊緊急上線了對抗方案和游戲安全包。這種現(xiàn)實和緊迫的情況也曾出現(xiàn)。

“如果對游戲絲毫提不起興趣，在這里的工作將變得非常辛苦?！睆埍玖盒χf，大家都很負(fù)責(zé)，雖然解決不了也沒什么懲罰，但在難題沒有徹底解決的時候，大家都放不下心來。

有一次，客戶在游戲包發(fā)布不久前，提出游戲安全保護(hù)的要求，外掛檢測“線程”被黑灰產(chǎn)巧妙繞過了，讓游戲曝露在巨大風(fēng)險之中。在一周內(nèi)將所有的安全措施配齊，否則就趕不上游戲的發(fā)布日期。一邊是焦急的客戶，一邊是棘手的作弊者，夾身其中的安全團(tuán)隊面臨著風(fēng)險判斷與技術(shù)治理的一次大考。

為此，游戲安全團(tuán)隊熬過了艱難的一周，一邊與客戶積極溝通，增加安全解決方案與游戲業(yè)務(wù)耦合性，一邊集思廣益出具了幾種針對性解決方案。在無數(shù)次開會討論之后，一個新保護(hù)版本在測試后成功上線了。

此外，平時的積累的必不可少。當(dāng)前，外掛技術(shù)越來越精細(xì)，不同游戲類型具備不同的玩法，它可能存在的風(fēng)險點也不太一樣，團(tuán)隊還需要根據(jù)特定風(fēng)險點去做特定檢測。

為了發(fā)現(xiàn)各類游戲的最新外掛情形，團(tuán)隊日常的工作任務(wù)之一就是時刻關(guān)注著國內(nèi)外游戲論壇與視頻網(wǎng)站上的最新外掛分享，研究外掛是與之對抗的重要一步。因此，大家時刻沉浸在游戲中，無論是持續(xù)去發(fā)現(xiàn)游戲問題，還是安全能力的迭代。

在長久的對戰(zhàn)之下，團(tuán)隊進(jìn)行了一些沉淀，包括分析報告、治理流程和應(yīng)對工具等，讓解決全新外掛變得越來越簡單。雖然外掛問題可能得到臨時性的解決，但又會無數(shù)種外掛衍生開來，仿佛變異的病毒一般，舊的防范方法可能面臨失效的窘境。

“對抗就是這個樣子，突然出現(xiàn)風(fēng)險的時候，就得加班加點，且永遠(yuǎn)沒有結(jié)束的一天。”在團(tuán)隊成員看來，即便如此，每一次工作都不是無用功，從分析流程中能學(xué)到不少，為下一次的防御提供了更多思路，有利于部署一個更長久有效的解決方案。