对抗游戏黑产，和打仗是一样的。

文 / 九莲宝灯

「横扫外挂，重拳出击；救我狗命，YYDS。」

刚一进入腾讯游戏安全（ACE）团队的办公区，一面这样的锦旗就吸引了我的注意。它来自一款去年上线的射击游戏。而像这样的锦旗，还有十几幅。而与这些带点幽默色彩的锦旗不同的是，ACE 的办公区一个玻璃柜里，还低调地摆放着一个名为 " 广东省游戏产业协会游戏安全专委会主任委员单位 " 的牌匾。

而不久前，ACE"Game On, Cheats Gone" 的标语，甚至摆到了美国旧金山的 GDC 2024（全球游戏开发者大会）上。

当下，游戏黑产引发的各种烦心事儿真是层出不穷。为什么腾讯的这个游戏安全团队又是收锦旗，又是做展览？他们究竟厉害在哪儿？带着对他们工作的好奇心，我们联系上了 ACE 团队，与他们展开了一场深度交流。

「反外挂这个事，做了这么多年，为什么现在还见不到头？」开门见山，我询问他们的安全产品专家团队。

「游戏如今在向工业化迈进，游戏黑产同样也是。他们已经从低成本的作弊脚本，升级到科技含量十足的开挂装备；从零零散散的地下黑产，演化成分工明确的产业链。」

现在黑产的技术水平已经到了什么地步？团队给我举了一个例子，有一种专门的外挂眼镜，它能将游戏里的地图和其他玩家的位置信息直接投射到眼镜上。这种新型外挂，对于很多游戏安全产品来说，都很难检测。

如同电影里一波又一波打不尽的反派一样，只要有利可图，黑产就不会停歇。

01

生死存亡的时刻

2022 年，一款著名的射击竞技游戏 A 来到了游戏生命的第五个年头。这个在全球拥有巨大影响力的产品，却因为愈演愈烈的外挂问题，走上风口浪尖。

过于红火，导致这款游戏被全球大量外挂团队觊觎。「十分钟匹配不到一局，刚进游戏就被千里之外的一枪秒杀」……这是当时玩家对游戏体验的描述。而游戏的日活数据，也在不断下降。

游戏运营商并非没有想过对抗外挂。他们一直都在努力自研反外挂能力，除此之外，他们还购买了其他安全厂商的反外挂产品，多管齐下，想方设法多方向去改善游戏的外挂问题。那个时候，他们平均每周都要封禁数万个账号。但是此时此刻，游戏几乎已经成了全世界外挂团队的试验田。

一来，外挂种类太多。除了射击类游戏常规的透视自瞄挂外，还有加速类、压枪类等外挂。

二来，外挂更新太快。如今，网络上有大量技术论坛，黑客团队会在这些论坛上交流技术，团伙作案呈现出工业化趋势：一部分顶尖黑客专门钻研反检测技术，其他的黑客则快速利用游戏逻辑缺陷实现功能，最终再整合收费模块和渠道分发，形成一条完整高效的产业链。

此外，外挂的实现方式也已经深入到内核：它们将关键代码内核化、加载内核驱动，还会通过多种隐藏方式逃避检测。

加强游戏的反外挂工作，迫在眉睫。

同样是运营多年的产品，一款体量不小的国产动作手游 B 也同样也陷入了与外挂的苦战。

对于手游，黑客团队会通过跨进程读写内存、攻击壳方案（加固方案）或安全 SDK 的检测点来绕过检测。

比如最近非常流行的一款新型外挂，作用是绕过安全产品的 root 检测，让许多游戏非常头疼；而另一款的外挂则能隐藏应用列表，同样也会阻挠安全产品检测作弊程序。

另外，随着对抗演进，黑客团队甚至可能研发出完全基于内核实现、运行在系统最底层、具有最高权限的外挂。这则会让安全产品的处于权限劣势，能力无法完全施展。

为了解决游戏内众多外挂问题，这款游戏接入了某第三方安全服务。然而即便如此，外挂治理状况还是让他们头疼：不仅有至少 10 个外挂品牌仍然在活跃，更糟糕的是，反外挂服务甚至还导致游戏多次发生异常崩溃事故。

这款游戏陷入了进退两难的困境。

除了运营多年的老游戏，一款去年刚刚在国内上线的射击游戏 C，也遭遇了外挂团伙的挑衅。

这款游戏在应对外挂方面也早就做了准备。他们全方位接入了腾讯 ACE 的安全服务，从一开始就对外挂形成压制态势。但与此同时，外挂团队也拿出了他们的杀手锏—— DMA 外挂。

DMA 是 Direct Memory Access（直接内存访问）的缩写。这种技术允许硬件设备直接访问系统内存，而不需要通过 CPU 进行数据传输。在游戏中，DMA 作弊通常会使用特殊的软硬件工具，来读取和修改游戏内存中的数据。

常见的 DMA 外挂是一种特制的电路板，可以安装在电脑主板上。它能将游戏对局中的数据信息上传到另一台电脑。玩家可以一边在这台电脑上打游戏，一边在另一台电脑上浏览对手实时坐标等信息。他们甚至可以通过服务器共享信息给其他队友，实现一人获取数据，全队透视作弊。

因为玩家不需要往游戏客户端中安装任何作弊程序，所以 DMA 外挂极为隐蔽。一些「演技」较好的游戏主播，用着这种外挂开直播，连观众都看不出来。ACE 团队一开始提到的「作弊眼镜」，实际上也是 DMA 外挂的一种新变体。

按 ACE 团队的说法，购买一块 DMA 外挂电路板，价格在 1500 元到大几千不等。即便如此昂贵，但在巨额的潜在利益面前，这种外挂也仍然呈愈演愈烈之势。

层出不穷且不断升级的外挂，成为了玩家世界混沌秩序的惊爆点，无时无刻不在考验着游戏厂商的安全对抗能力。

02

一支特殊的队伍

帮助厂商解决这些问题，就是 ACE 团队的日常。

前面提到的那款全球运营的射击游戏 A，厂商用了一个对比测试，去亲身验证了 ACE 安全方案检测能力的有效性。

「兵马未动，情报先行。」ACE 团队这样介绍他们的对抗理念。ACE 刚接到项目的需求时，并没有立刻掏出自己的方案，而是派出了一支黑产情报团队，收集信息。

这支团队会整体摸排游戏的外挂现状，掌握外挂的更新渠道和数量，并配合技术团队的分析了解外挂主流的实现方式。「情报团队会潜伏在各种黑客经常出没的地方，比如论坛、群聊……外挂团队的新思路新动向，他们都能牢牢掌握。」

除了情报方面，由于这款游戏同时使用了多款第三方反外挂产品，因此 ACE 团队还需要考虑兼容的问题。不同的反外挂产品很可能在机制上存在冲突，导致游戏蓝屏 / 闪退等，或是互相影响准确性的问题。所以 ACE 还要先和游戏一起，制定方案发布和策略变更流程，让各自的机制不受影响。

最终方案稳定上线，协助游戏整治外挂问题。团队表示，从最终的打击效果来看，同一时段内，ACE 检测到的作弊用户数量比另外几个反外挂产品检测到的总和还要多。

团队还告诉我，经过一段时间的对抗，用户反馈也终于开始有所好转，不少流失玩家开始回流。

面对第二款动作手游 B，他们的黑产情报团队同样发挥了作用。

情报团队不仅要掌握游戏外挂的更新渠道，还会收集游戏目前的外挂活跃款数、类型、涉及的功能点等信息。包括作弊玩家对于官方外挂管控的敏感度，正常玩家在社区反馈外挂舆情的具体情况，他们也要一一涉猎。

基于这些信息后，这项业务接入了「高级服务层级」。所谓高级版，就是在常规的客户端、服务端对抗组件之外，ACE 团队还向产品提供外挂对抗服务，例如外挂收集、外挂测试、外挂分析、外挂对抗、精细运营等等。

而经过灰度发布、监控测试等一系列流程之后，他们的策略也正式在这款游戏上发布。

目前据团队观察，游戏中原有的 10 款活跃外挂品牌，已经有 7 家退出。而剩下的外挂，也从在手游上常用的 apk 文件，转为了传播、使用门槛都更高的 exe 文件。这样一来，幸存外挂的传播面也基本被控制。

团队的一系列反外挂行动，让不少黑产从业者嚎啕。在交流群中，就有人对于游戏的转变感到相当意外。

还有这款游戏的国际服用户表示，未使用 ACE 方案的国际服和国内版本相比，差异非常明显。

团队还向我额外指出，他们的策略经过多方面稳定性适配，不会导致游戏崩溃，从而使得这款产品没有了对于使用安全服务的顾虑。

解决了前两桩问题，ACE 也时常要面对一些市场上的新型外挂，比如被外挂界誉为杀手锏的 DMA 和 AI。

射击游戏因为游戏特性问题，安全问题最为复杂。解决好射击游戏的安全问题，其他游戏类型也就不在话下。对于 ACE 来说，射击游戏是他们最熟悉的品类之一。团队告诉我，经过多年的积累，他们其实已经拥有了比较完善的解决方案，特别是对于透视自瞄这类外挂，在行业内具有较高的竞争力，而且他们的这种能力还能够快速移植、部署到新游戏上。

以 DMA 为例，面对 DMA 外挂这种全新的作弊类型，ACE 团队也制定了一套对抗体系。

他们首先强化了对设备的识别，建立起设备特征库。一旦检测到有 DMA 硬件接入，立刻弹框关闭游戏。

其次就是强化对内存的保护。他们对系统多级页表进行了加密保护，尽量让外挂无法读取游戏数据。他们还定制了新的检测方式，根据硬件、行为特征，用大数据方式识别玩家的异常行为。

ACE 团队也考虑了未来可能存在的新型 DMA 外挂。他们通过指针 / 坐标等关键数据设置了蜜罐（一种欺骗攻击方的技术），并采用千人千面加密，进一步巩固对 DMA 外挂的打击效果。

「据我们了解，这一套对抗体系，无论对抗的深度和广度，效果都非常明显。最终实测下来，市面已获取的样本我们都可以检测，高分段作弊率也下降超过一半以上。」

03

永无止境的战斗

前面所说的案例，无非只是游戏与黑产对抗中的一角。对于游戏厂商来说，需要面对的安全问题还有很多，几乎没有产品能够幸免于难。像 ACE 这样的团队，需要应对的挑战还有很多。

例如近两年随着 AI 技术的发展，也有人采用 AI 技术，自动识别画面中的敌人，并发动攻击。这类外挂并不会修改游戏数据，因此也很难被检测出来。它很有可能成为下一阶段的主流外挂。

而在外挂之外，还有一个相当严重的问题就是内容安全。很多人提起这个领域的打击手段，想到的可能只有「屏蔽词」。但实际上玩家在交流中，除了会发表一些常见的违规用语之外，也时常会出现阴阳怪气、消极带节奏、发布拉人广告等行为，甚至会出现诈骗团伙在游戏中诱骗玩家的情况。

不仅如此，现在的违规内容也日趋 " 隐晦 "，例如一句话穿插着表情、符号、文字，或把一句话拆成多句来发送，试图绕过检测。这些问题不仅会破坏游戏内的氛围，也是游戏长线运营的潜在威胁。

随着游戏中内容玩法的更多样化，目前在许多游戏中都流行的 DIY 玩法，也有直观的内容安全风险。玩家创造的内容是相对不可控的，一些自主摆放的道具，很有可能表示着一些违规文字或图案。

ACE 团队向我们表示，在众多游戏的对抗实战中，他们也已经积累了一些专属的内容安全方案，对抗这类复杂的场景。

而这几年游戏出海的热潮，也让这支 ACE 的内容安全队伍面临新的战场：多语种内容、各地区的隐私政策、法律法规、宗教文化差异……都是他们需要考虑的范畴。

据 ACE 内容安全团队的产品负责人介绍，他们基于腾讯内部游戏及市场的需求，自主研发了游戏域的检测模型，集语种识别、跨语种分词、抗变种干扰的能力于一身，可以解决游戏场景下多语种内容安全问题。

「我们的服务在出海厂商中很受欢迎，一方面能力是有背书的，已经覆盖了英语、葡语等 18 个语种，色情、网络暴力欺凌等 7 个恶意类型，并且在不断补充中；另一方面，也很好地避免了厂商购买海外产品时面临的时差、语言差异导致沟通困难等问题。」

除了外挂、内容这些直接的恶意产业，游戏面临的黑产还包括代练、演员、陪玩、打金工作室等。这些产业很有可能造成游戏的公平性损失，或者是游戏内经济崩溃等问题。不仅如此，它们还会和外挂等其他黑产勾结，形成更恶劣的后果。

对于中小游戏团队来说，由于缺乏足够多的安全人才和维护成本，上述的这些问题随时都有可能成为整个公司的灭顶之灾。而正是像 ACE 团队这样具有大量专业人才的安全服务商的存在，才使得全球游戏产业得以在一个基本稳定的态势下正常发展。

「那么在你们看来，游戏安全问题会有被彻底解决的一天吗？」

「很多游戏团队会有一个认知误区，认为只要买了安全服务，那么游戏就应该一点外挂都没有。但实际上，外挂是应需求产生的，有利可图，它们就会源源不断地出现。在我们看来，" 公平竞技 " 是一个需要付出毕生心血去追逐的愿景。我们也很希望能有一天，玩家与玩家能够赤诚相见，没有攻击、黑产，或者其他的不公，这也是我们工作的意义。」

游戏葡萄招聘内容编辑，