游戏外挂|移动端、端游、小程序等外挂风险加剧，附外挂治理实践和AI在反外挂中的应用！

2023年，网易易盾围绕游戏外挂特征，通过定量分析手段，检测得出模拟点击类外挂15.83亿次，占比33%；检测恶意应用3.67亿次，占比7%；检测自动脚本1.47亿次，占比2.8%；定制外挂0.63亿次，占比1.3%。

恶意应用命中次数	模拟点击命中次数	自动脚本中次数	定制外挂命中次数
3.67亿次	15.83亿次	1.47亿次	0.63亿次

在整个外挂命中数据中，手游外挂风险命中31.21亿次，占比66%，同比增长54%，端游外挂风险命中14.45亿次，占比31%，同比增长27%，此外小游戏/H5风险略有提升，命中2.29亿次，占比5%，同比增长90%。

移动游戏外挂风险加剧

根据网易易盾2023年检测数据显示，网易易盾累计检测iOS终端受到攻击9.4亿次，安卓终端受到攻击21.84亿次，虽然两类都是移动终端系统，但是由于安全保护系统的区别，导致游戏外挂存在巨大的差异性。相比与iOS来说，安卓可以说是游戏外挂的重灾区，当然这也跟操作系统装机量有关。

而从攻击方式来看，iOS和安卓也存在较大的差异，具体来说：

iOS手游受到外挂攻击前四的类型分别是：辅助工具、改机工具、破解分析和反越狱挂，占比分别为：45%、18%、16%、15.5%。而安卓手游受到攻击的前三种外挂行外为：模拟点击、恶意应用、模拟定位和定制外挂，占比分别为：55%、26%、10%、4%。

辅助工具	45%	模拟点击	55%
改机工具	18%	恶意应用	26%
破解分析	16%	模拟定位	10%
犯越狱外挂	15.5%	定制外挂	4%
iOS手游常见外挂占比		安卓手游常见外挂占比

网易易盾观察到，近年来，手游外挂和脚本工具越来越倾向于在非真机环境下运行，部分外挂为了躲避游戏方常规的检测，通常会使用隐藏安装和特征的手段对抗风控。

具体来说：

① 协议破解正在成为手游一大问题，外挂工具通过使用网络抓包工具如 Wireshark，抓取并分析游戏客户端和服务器之间的通信数据包，进而找出游戏客户端和服务器之间的通信协议，再通过模拟游戏客户端发送请求，以此获取或修改游戏数据。

② 在游戏支持断网的情况下，外挂也容易对本地数据进行修改，导致核心数据在断网后发生变化。

③ 跨环境作弊的现象也逐渐显现，即游戏包在模拟器内运行，而外挂则在PC端运行。比如按键类脚本和 CE 修改器等辅助外挂可以跨安装环境对手游下发作弊动作，而随着手游外挂检测和对抗手段的升级，这类作弊现象也呈上升趋势。

④ 剥离安全方案也是安全厂商和游戏方需要重视的问题，外挂通过屏蔽安全域名和截断通信的方式，实现外挂对抗方案剥离，给游戏方造成检测无数据的问题。

端游外挂风险

2023年，网易易盾检测端游外挂攻击类型中，占据前四的分别是自动脚本、易语言程序、安装风险应用和大漠工具，占比分别为34%、22%、21%、17%，而紧随其后的依次为加速器、辅助工具和修改器。

自动脚本	34%
易语言程序	22%
安装风险应用	21%
大漠工具	17%
加速器	3%
辅助工具	1%
修改器	1%

此外，结合 2023 全年发现和监控到的端游外挂样本分析发现，超过 30 % 的端游外挂都带有驱动注入功能，外挂开始向驱动层面发展，这也为外挂检测带来了更大的挑战。

我们也看到，与手游相比，PC端的外挂甚至可以做到一日多更，并且可以频繁、随机地修改名称、窗口哈希和 MD5 等信息。同时，有些外挂不仅直接下载在客户端，同时还会被放置在U盘、云端或网页链接上，使得检测难度更大。

同时，随着 AI 技术的发展，市面上现在出现了趋向AI行为的外挂。这些外挂在游戏动作执行上更加拟人化，不再僵硬，多应用于点击类脚本，售价也更高。这给AI模型的检测也加大了难度。

我们看到随着端游技术的不断创新，对抗外挂的手段也在不断升级。相对于移动端的安卓和iOS，PC端的运行环境更加复杂，权限更加开放，而端游的外挂治理也更为复杂。

小程序/H5小游戏外挂问题日渐凸显

近年来，小游戏市场需求的火热，伴随而来的黑产问题加速凸显。

根据网易易盾检测数据显示，网易易盾2023年检测小游戏类型来看，借助网络安全漏洞进行攻击和非法操作最为普遍，两者占比超过90%，因此网络安全漏洞是小游戏面临的主要威胁之一。

由于攻击者可以通过网络安全漏洞入侵游戏服务器或用户设备，获取敏感信息或者进行其他恶意行为。同时，小游戏可能存在代码安全漏洞，例如缓冲区溢出、代码注入等，攻击者可以利用这些漏洞进行攻击或者非法操作。

所以小游戏运营方需要需要采取相应的安全措施，包括不断加强网络安全防护、确保代码安全可靠性、加强用户数据保护等方面，以保证小游戏的安全性和可靠性。

外挂风险治理实践

• 某SLG端游案例

《战意》因其丰富多样，独具策略感的游戏世界吸引了海量的玩家，上线后很快被外挂制作方盯上——他们通过兜售不同的外挂攫取利益，影响游戏平衡，破坏正常游戏玩家体验。最常见外挂类型如：加速、增伤、回血、锁头、对游戏武将进行伤害微调、微加速以及数值修改等。

在外挂识别方面，网易易盾风控引擎综合玩家行为数据、设备数据、应用数据、网络数据等，识别游戏中出现的修改器、变速器、调试器、模拟操作、工作室等外挂工具/行为，并形成游戏外挂大盘，《战意》只需要通过后台就可以掌握游戏内环境动态变化，实现可视化数据管理。

• 小程序游戏案例

该戏面临的主要问题是游戏美术资源被盗用、游戏数据被篡改。

其中，美术资源包括各类大场景、角色、道具等大量精美原创素材。此外，该游戏资源文件数量众多，需要保护的资源文件个数超过万个，这就要求游戏安全方案的加固性能、兼容性、安全性均需要达标才能符合游戏的需求。

易盾与游戏厂商充分交流后，结合该游戏特点，定制开发了游戏资源保护方案。保护方案支持png、jpg、js、html、json等格式游戏图片资源的加密，同时由于小游戏支持动态分包下发资源，定制方案也通过单独资源文件加密方式适配进行适配。

资源加密方案通过动态加解密的方式实现，可以有效对抗破解改包。资源加密方案同时在加固速度性能上做了特殊优化，确保游戏加固的时效，以支持厂商随时进行及时更新。

AI在反外挂中的应用与探索

随着外挂治理的深入，传统的反外挂方式不断被挑战， AI 在反外挂治理中正在逐渐发挥价值，特别是在解决客户特定痛点问题方面。

根据游戏品类的不同，使用AI解决的问题也存在差异，尤其是在对抗激烈或者收益颇高的场景中，作弊的花样也是层出不穷，但使用AI能够高效的针对作弊目的进行“反侦察”。

在MMORPG类型中的采集号、秒货号，通常使用AI计算点击行为作弊的玩家；在SLG的每日固定任务的场景中作弊玩家使用自动挂完成每日任务获取资源，AI在此场景中更多结合时间序列和操作动作识别出作弊玩家；在FPS对抗中，透视、自瞄和无后座，作弊玩家模拟鼠标信号，扰乱上报信息，一般厂商很难检测出作弊玩家，而AI在透视和自瞄场景中利用数据可以“还原”作弊的现场，不仅在检测覆盖率上解决了痛点问题，还能够提供可被查证的实质性证据。

当然，AI并不是万能的，需要和其他检测方案相辅相成，实现1+1>2的效果。

据我们服务的客户经历来说，没有哪个厂商会轻易的将游戏终端“裸奔”上线，至少会购买我们的加固和风控引擎，或者客户自己实现了双端校验。

AI需要发挥的优势是基于数据，而数据可能是多源的，其中有来自游戏内的角色操作数据、移动数据等，另一部分来自客户端的输入数据或点击数据、或使用SDK采集的更细粒度数据，从而满足特定场景下的检测需求。

另外在检出结果上面我们会交叉验证作弊用户，提高处置着信息，在进一步分级将各自方案的边界逐步扩大，发挥出每个方案的优势，从而实现效果层面1+1>2的最高级别防控要求。

再比如在FPS场景中，AI的优势是辅助人工提高审核效率，在海量数据里面准确无误的检出作弊用户，但AI方案也存在边界，在业界最高标准里面几乎不可能做到又要准确率又要召回率的万能方案。所以在使用AI方案的时候应该明确好使用的侧重点以及想获得怎样的预期效果尤为重要。

欢迎关注【游戏智眼】，我来自网易~ 是你最得力的游戏行业战略家，也是最硬核的游戏技术布道师，一起让技术发光~ 欢迎各位游戏人一起探讨交流~

tips:想要查看完整干货文档，欢迎在评论区留言领取！