2025 年 5 月 27 日,米哈游法务部宣《原神》「大世界消除」外挂案告破。
时隔两年,这个消息的确让我大吃一惊,原本以为是无意发现并且传播出去的客户端漏洞,没想到背后竟然有一个完整的外挂团队,以及传播售卖的黑灰产产业链,实在让人惊讶。
这次视频 中说的外挂是2023年八月份出现的 ,随后官方在当年八月二十五日对相关bug机制漏洞进行了修复 ,当时我还写了对此做分析 。
另外,这篇 里还有玩家录屏的外挂破坏过程,可以做到将玩家的限时挑战、宝箱仙灵和元素方碑等引爆(变没),可以一看。
原神大世界物品消失外挂 https://www.zhihu.com/video/1918706169108731746关于原神这款游戏的其它外挂,其实有很多,现在还能看到很多揭露外挂的视频 。
但是,由于原神可以看做一款带有玩家联机功能的单机游戏(事实上目前对我来说纯粹单机),因而很多外挂的影响力很小,不会外溢,顶多就是帮自己个人账号找找宝箱、深瞳、材料等等。
「不会外溢」,指的是影响力局限于使用外挂的账号,不会像PVP那样影响到其它人的游戏体验、剧情体验等等。
所以当时出来这款破坏力如此之强,乃至能够危及原神其它玩家核心游戏体验,造成严重影响力外泄的外挂出来之后,我还是比较关注的。
比较关注的其余部分原因在于,「原神」和「网络安全」的交集大多集中在对原神玩家的「开盒」和「网暴」,好不容易有个纯粹的安全问题,还是很值得关注的。
另一个比较纯粹的问题,是后门程序「HZ Rat」(也就是远控木马)和米哈游的意外交集,我当时也写了 来做分析。
原本,我以为这只是无聊的恶作剧,某个玩家在联机过程中发现了这个漏洞,然后去做类似小孩子式的恶搞。
所以说,在漏洞机制被修复后,我就没有再关注了。
结果,一年多接近两年后的今天,真相才被揭露, 原来背后是有黑灰产团队的,而且是横跨多省的黑灰产链条 ,怪不得外挂造成的传播度和影响力远超预想。
一般来说,这种恶性外挂,在很多人知道的时候就已经被修复了。
比如说,前段时间云顶之弈有一个前排杰斯bug,很多玩家听说这个bug都是在被修复后了。
如果没有黑灰产团队助力,bug本身传播的力度有限,影响力也有限。很多人都是在官方发通告说bug被修复后才知道有这么回事儿的。
按照米哈游法务部的公告显示: 「该团伙制作外挂后,组建QQ群频繁交流外挂实现方式、分享外挂效果,同时还教唆他人使用、适配、改进外挂,持续扩大外挂的使用人数,群成员多达360余人。」
关于这个外挂,摘要一些本人当时的技术分析:
原神这次的恶意外挂,看起来也像是这种无条件信任客户端返回结果的逻辑下会出现的问题。
其次,这种模型的套用情况其实在游戏开发过程中还是很常见的。例如,由于某些原因(可能是引擎的限制或者是开发者的决策),开发者可能会选择使用怪物的模型来实现回血的道具,实际上血包就是一次攻击伤害为负的怪物冲锋(忘了是哪款游戏了,之后再去搜索一番。)
接着,游戏中的各种对象,如人物、怪物、武器装备、当前状态等,都以内存块的形式存在,所以定位定位对象内存块的意义重大,可以帮我们了解模块的组成,对象的行为,除此之外,在恶意修改交互物品ID、角色属性等数值时,也需要定位相应的内存块。理论上,这些在本地客户端也可以完成,至于是否真能准确定位,我只能说既然保险箱已经在强盗(客户端用户)手里了,只是看能力够不够。
理论上来说,只要服务器运算的校验没有做到位,过于相信客户端数据,这项攻击完全是有可能的。
卡维的技能是立即引爆一定范围内的草原核,就可行性而言,只要能在客户端定位到物品内存块,然后提权以便修改物品属性为草原核,进而使用技能引爆,然后回传到服务端确认,假使服务器不加验证便接受,这一套外挂攻击是可以完成的,这也是经典的外挂手段。
这件事情,如果只是处理卡维技能的话,那属于是扬汤止沸,临时性手段,保不齐之后还有其它问题陆续发生。
要么不再信任客户端的数据,对任何操作都做二次校验;要么修改物品的整体逻辑,包括模型和属性等,防范其它类型的攻击;而且本地客户端也要做相应的处理手段,防止外挂程序作者继续分析游戏客户端代码/内存等。
至于玩家,如果不能百分比确认联机对象没有卡维等能直接引爆草原核的角色的话,那还是暂时不要使用联机功能了。此外,既然能将交互物品属性修改为草原核,那或许也可以将其修改为其它属性,如网传的可修改为能被草神采集的物品等,所以短期来看不联机或许为最佳妥当方案。
由此也可见,对《原神》联机功能影响还是相当之大的,算是一次信任危机吧,玩家和玩家之间的,也是玩家和原神之间的。