「 點選上方"GameLook"↑↑↑,訂閱微信 」
圖片來源:Pixabay
中國小遊戲賽道正被兩道沉重的枷鎖束縛:山寨抄襲的猖獗與灰產外掛的肆虐。根據微信官方此前公佈的資料,高達80%的開發團隊規模不足30人。
中小遊戲開發者,恰恰也是行業生態中最脆弱的群體——他們團隊能力有限、技術防禦能力單薄,維權手段更是匱乏,精心打磨的遊戲甫一上線,破解包已在暗網流轉,換皮產品公然換殼登場,使用者與收入被無情劫掠。更令人窒息的是,那些曾寄生在大廠大型遊戲的“私服”和黑灰產團伙,如今也瞄準了這片沃土,甚至部分團伙跨境操作的隱蔽性,讓小團隊的維權追索如同大海撈針。
實際上,即使是三七互娛這樣資源雄厚的頭部大廠,其今年2月份發行的某款進入暢銷榜TOP10的App手遊新作(4月更是進入微信小遊戲暢銷榜TOP10),僅釋出一個月後便被灰產淘寶店與QQ群組瘋狂侵蝕,對這款遊戲造成了不小影響。雖三七憑藉強力的法務與跨省執法協作最終搗毀15家黑店,但這般雷霆手段對國內小開發者而言無異於天方夜譚。
被動防守等於坐以待斃。面對灰產團伙從破解、分銷到換皮上線的完整黑產鏈條,傳統“上線-投訴-下架”的亡羊補牢模式早已疲於奔命。值得慶幸的是,微信小遊戲平臺已釋放積極訊號,開始提供反外掛與抄襲檢測工具。
6月25日,在重慶悅來國際會議中心舉行的2025年微信小遊戲開發者大會上,微信公開課講師李志浩作了題為“微信小遊戲安全能力升級與實踐”的演講。
他表示,平臺正在持續為開發者提供更實用、更好用的技術能力和工具,為各位開發者向用戶提供更好的遊戲體驗保駕護航,平臺同樣也為開發者的程式碼等核心資產保駕護航,程式碼加固2.0、UGC內容安全管理和外掛對抗三管齊下,保障開發者的核心權益。
而據微信提供的案例,某款曾遭到外掛侵害APP手遊,在採用微信的全方位防護和最佳化方案後,實現了“小遊戲上線後,沒有觀測到明顯的外掛侵害行為。”可謂效果十分顯著。
以下是Gamelook整理的全部演講內容:
李志浩:
大家好,歡迎來到微信小遊戲公開課的現場,我是講師李志浩。下面由我為大家分享微信小遊戲安全能力升級與實踐,我將從程式碼安全、內容安全和外部安全這三個大家日程諮詢比較多的方面,來為大家介紹一下安全相關的注意事項、能力升級,以及我們提供的一些新能力。
程式碼是小遊戲的核心資產,在過去我們已經提供了程式碼加固工具給到開發者,來幫助他們應對程式碼抄襲、惡意搬運和逆向分析等安全風險,取得了不錯的結果。最近一年我們對加固工具進行了全面升級,推出了加固2.0,下面介紹給大家:
首先,為了更好的保護程式碼智慧財產權,我們對防惡意搬運這項能力進行升級。我們引入了遊戲程式碼鎖,它和去年已經推出來的程式碼水印能力有所不同,水印是一種更加後置的輔助判定手段。而遊戲程式碼鎖是一種更主動和前置的能力,經過加固的程式碼會和微信的環境強繫結,並可會在業務邏輯中去耦合一些動態的校驗程式碼,以便即時校驗執行的上下文環境。
當不符合預期的時候,就會執行一些置頂的仿製邏輯,例如右圖當中的新圖為一款小遊戲,在微信裡面是可以正常執行的,當它加固之後被惡意搬運到了其他的平臺,就會在執行時彈出一個終止的彈窗。此外,開發者還可以靈活的去指定其他的反制手段,這個我們都是支援的。例如可以去降低遊戲的執行速度,或者說是可以限制一些特定的功能無法執行等等。
近期程式碼加固的接入的遊戲數量迅速增長,其中有越來越多的中重度遊戲,他們有幾個顯著的特點,這可能戶帶來幾個問題,我們結合小遊戲的底層邏輯技術框架做了一些相應的最佳化,下面介紹給大家:
首先,重度遊戲的程式碼體積往往是很大的,有的甚至超過了十幾兆,這可能會影響網路的下發或者是執行的效能。因此我們優化了程式碼的生成技術,引入了三點:名字的複用、相似程式碼的融合以及冗餘程式碼的刪除,大幅度減少了生成程式碼的體積。已接入的遊戲表明,中低兩檔加固之後體積非但沒有膨脹,反而比之前更小了,平均會減少18%。對於高檔的加固,體積膨脹控制在5%左右。
第二,中重度遊戲往往是比較吃效能的,那麼在低端的機型上面可能會存在一些卡頓,因此這就要求加固的效能損耗要足夠低,所以我們將高頻的計算進行了快取化。結合JS的語言特性,我們將變數的快取和表達方式的計算構建了快取,來大幅提升加固程式碼的效能。已接入的遊戲表明,我們的加固在中高階機型上面效能幾乎是無損的,在低端機型上效能的損耗保持在1.5%以內。
第三,中重度遊戲的體積比較大,這也意味著可能在加固的時候需要等待比較長的時間。因此,我們去全面升級了我們加固工具的平行計算架構,並且優化了一些解析庫的實現,大幅度提升了加固外掛的速度。目前,加固一兆的GS檔案,我們由平均1兆的GS檔案從2分鐘最佳化到了1分鐘以內,提升了一倍多。
已經接入加固的小遊戲,會自動升級到加固2.0,無需開發者進行額外的操作。目前有幾千款小遊戲都已經接入了平臺,針對這些小遊戲做出了比較良好的保護,我們也期待更多的小遊戲能夠接入,更夠更好的保護自身權益。對於在遊戲中有社互動動玩法的開發者來說,UGC的安全風險想必是非常熟悉的,UGC既是小遊戲活力的源泉,同時也可能會帶來一些運營隱患,如果管控不好的話,小則影響遊戲的社群氛圍環境,大則可能會違法或違規。
針對小遊戲場景的UGC違規型別,去年我們也給出了小遊戲專屬的解決方案。今年我們在檢測能力的基礎之上做了5點專門的升級,來更好的保護小遊戲的內容安全,接下來詳細介紹。
第一,我們增強了在聊天場景裡面廣告引流文字的識別和對抗能力;第二,我們提升了在資料場景中用於引流的暱稱和頭像的檢測精度;第三,我們強化了一些語義很隱晦的,很模糊的那些辱罵、低俗、色情的檢測的能力;第四,我們還新增了一個對小語種這種違規內容的覆蓋;第五,對於那些高頻違規的賬號,我們實現了一整套自動發現和打擊的能力。
以上所有UGC的檢測最佳化都已經整合在了UGC安全介面中,建議所有UGC場景的小遊戲都來接入,來更好的保護自身,在專項檢查能力的升級之外,我們還專門為小遊戲的內容安全訓練了兩個安全大模型。我們的出發點是為了更好的去提升小遊戲內容安全的效能,並且滿足一些開發者的個性化訴求。
下面介紹文字安全大模型,它具備比較強的語義理解能力,能夠自動發現一些隱藏的和新型的違規內容,並且具備很快的推理速度,它能夠在百毫秒級別返回檢測的結論。並且,在ADC的介面以前會返回可疑、透過和攔截這三個結論。
現在經過了文字安全大模型的過濾之後,將可疑的結論變成了確定的結論,這樣開發者就不需要再為可疑這個資料表前安排人力做二次稽核了,能夠大幅提升人力成效。
第二個圖片安全大模型,具備很強的可定製性,它能夠滿足開發者一些個性化的圖片攔截訴求。例如一些特定的二維碼、或者是一些特定的logo引流等等,都能夠快速而精準的識別出來。
並且,由於其很快的推理速度,它能夠滿足一些對即時性要求很高的一些同步的圖片的一些業務場景,就是說我們在做資料稽核的時候,一些頭像的過濾,或者說是對於訊息裡面有一些圖片的過濾等等,都能夠很好的去保障小遊戲的流暢體驗。
外掛是遊戲行業的毒瘤,特別是當小遊戲的使用者規模和營收量級達到一定階段之後,就可能會被駭客廠盯上,引來外掛的攻擊。如果外掛的問題處理不及時,很可能會導致遊戲的一些公平性的問題,引發了一些核心玩家的流失,甚至是營收的下降。因此,平臺就致力於提供一些通用的和基礎的防外掛的方案給到開發者,幫助他們去有效的抵禦外掛的攻擊,能夠保障小遊戲的持續安全運營。
目前在小遊戲裡面常見的外掛可以分為三大型別,協議掛、記憶體掛和重打包外掛,下面來詳細介紹一下。
協議掛它主要是在端上去偽造一些資料發給服務端,如果服務端沒有一個完善的資料校驗的話,就可能會造成破壞。針對協議掛,我們平臺提供了多納斯安全閘道器以及加密網路通道這兩項能力,能夠有效解決網路傳輸時鏈路的安全性,並且平臺提供了程式碼加固能力,也建議去接入它,能大幅提升網路通訊協議破解的成本。
第二個記憶體掛,它主要就是在端上利用工具去搜索記憶體數值,然後篡改記憶體數值,針對這種記憶體掛平臺也開放了記憶體加固能力給到開發者,它能夠有效去阻斷記憶體的搜尋。同時,更進一步,我們甚至會在記憶體裡增加一些記憶體的陷阱,當數值被惡意篡改的時候,就會觸發這個陷阱,去執行一些特定的反制邏輯。
第三類重打包外掛,這是近一年新發現的一類外掛,他主要就是利用APK的重物打包技術,在裡面注入一些惡意的JS程式碼,以此達到篡改小遊戲邏輯的一些目的。它的破壞性是極強的,因為它篡改了遊戲業務邏輯,那麼理論上它就可以製造出人一型別的外掛。比如說,一到秒殺,然後,或者是說無限道具、無敵的鎖血等等。
針對這種外掛,我們平臺提供了三項新能力,然後分別介紹一下:
首先是程式碼防注入能力。接入這個能力之後,會在執行時動態的檢查一些指定程式碼的完整性,這個是效能無損的。當檢測到存在惡意注入的時候,就會執行一些特定的反制邏輯。比如可以做資料上報,或者說退出遊戲,或者限制某些特定功能不能執行等等。
第二個,端環境的檢測能力。接入這一項能力之後,會在端上去檢查是否存在重打包,以及是否存在一些輔助的按鍵工具,以此來幫助開發者有效的識別是否處於一個破解的客戶端上面,以及是否存在一些惡意的指令碼攻擊,它能大幅提升端上的安全性。
此外,瞭解外掛和它的製作者和傳播者等情報資訊,在外掛的對抗裡面是相當重要的。而我們的外掛偵查系統,它能夠有效的識別到製作外掛黑產的團伙,然後刻畫出他們的安全畫像,然後放到我們的外掛漏洞報告裡給到開發者。包括外掛的一些溯源手法的分析以及應對措施,幫助開發者有效的進行查漏補缺。以上所有的防外掛能力均已對外開放,並且有很多的小遊戲都已經接入。
下面我們分享一個具體的接入案例,某一個App小遊戲將要釋出在微信小遊戲上面,並且由於其長期存在外掛的困擾,因此主動找到了平臺。在平臺的協助下,落實了一整套安全流程規範,分以下幾步走:
首先,平臺比較完整的評估了這個App遊戲存在了一些外掛的手法細節,並且我們詳細看了一下這個外掛的分佈。其中協議掛佔20%,記憶體掛佔30%,重打包掛佔50%。我們非常了相應的一些應對方案,然後形成了一些評估報告。
之後,這個開發者就基於評估報告修復了一些的漏洞。比如說將他們的遊戲登陸態進行了加固,並且將遊戲裡面用於測試的一些GM的後門邏輯進行了刪除。然後,還將一些比較敏感的戰鬥邏輯從端上移到了伺服器端。同時,它的微信小遊戲版本在上線之前,也接入了平臺提供的四大安全能力,就是程式碼加固、記憶體加固、程式碼防注入和單環的檢測,形成了比較立體的多重防禦體系。
在這個小遊戲上線之後,平臺也持續的監控這款小遊戲的外掛作弊環境,保障這個小遊戲處於即時防護狀態,有效的保證了這個小遊戲不為外掛所侵擾。最終,這個小遊戲上線之後,我們沒有觀測到明顯的外掛侵害行為,並且原有的App遊戲外掛手法在小遊戲上面就失效了,也沒有相關的一些外掛反饋。
以上就是我今天關於安全所有的分享內容。安全是小遊戲運營的一道生命線,這裡期待開發者給予持續的關注和投入,謝謝。
····· End ·····
招聘遊戲內容編輯,歡迎有興趣的同學投遞簡歷
GameLook每日遊戲產業報道
全球視野 / 深度有料
爆料 / 交流 / 合作:請加主編微信 igamelook
廣告投放 : 請加 微信:Amyly588
簡歷投遞郵箱 : [email protected]
長按下方圖片,"識別二維碼" 訂閱微信公眾號
····· 更多內容請訪問 www.gamelook.com.cn·····
Copyright © GameLook® since 2009
覺得好看,請點這裡 ↓↓↓