这种属于是典型的网络黑灰产，当下网络攻击手段中最为常见的一类。

主要流程是，通过社会工程学联系内测玩家、利用技术手段做内测包破解、基于互联网做内容泄露分发，以及对竞争方出售，以此来进行金钱变现，构成完整的网络攻击链路。

因此，「妮可少女」落网被抓绝对不冤，属于是实打实的罪犯落网，更好笑的是在落网前其实有机会收手，米哈游的宽容，这名罪犯没有把握住，可惜了。

之前，我在讨论和平精英和三角洲对抗DMA外挂和常规外挂的时候 ^{[1] [2]} ，就聊过这个。

那就是，防御外挂的手段有很多，除了技术，还有很多物理手段来制止外挂的传播，例如联合警方，重拳出击，这也是腾讯目前正在做的。

不仅仅是外挂，对于黑灰产，盗取企业内部信息的内鬼等，联合警方，重拳出击也是很好的抵御网络攻击的方法。

不仅仅是腾讯，米哈游此前也有过类似做法 ^{[3] [4]} 。例如 ，去年三月份的时候，协助警方斩断了一条游戏账号非法租售黑灰产链条，成果也很显著，按原视频所述「斩断多条“黑灰产”链条，抓捕涉案人员40余人，涉案总流水逾1亿元，查获被盗用公民个人信息超千万条。」

米哈游作为被害者，发邮件想原谅你，只要以后不再犯即可，结果你「竟然不许」，那你让米哈游怎么办呢？

至于这次，也是同理，协助上海警方以侵权、盗取企业内部信息等为由立案，开展调查，并依法抓获了三名涉嫌违法者。

报道把这个案件称为游戏领域打击非法剧透的典型实战案例 ^[5] ，也是在强调这种违法泄露行为的严重性。

不过，就我而言，剧透二字还是太轻了，这是网络攻击、是犯罪、是盗窃和泄密。

要区别的一点在于，普通玩家之间讨论剧情、角色，即使提前泄露一点内容通常属于社交行为。但是，本案指的是：首先，利用技术手段获取尚未公开的保密资料；其次，再将其公开到网络平台以牟利的行为，这就涉及违法犯罪了。

没办法，私下和解，寻求解决方案，网络攻击罪犯反倒嚣张，不予理会，那也只好诉诸法律和警方了。

首先，要明确「资产」是什么。

对游戏公司而言，未公开角色、技能数值、剧情节点和活动等，都可能在不同阶段具备商业秘密权限，其价值也不只体现在被提前看见会影响玩家体验这点上，更体现在对商业节奏、宣发策略、合作方权益等等方面的系统性破坏。

其次，是「路径」问题。

也就是攻击面与威胁模型。我之前就曾这样评论过，谈起网络攻击和网络安全，很多人对技术向的网络攻击有着痴迷和狂热的崇拜；但与此同时，他们又贬低和看不起内容信息向的网络攻击，对其不以为意。

但实际上，技术向的攻击对技术要求高，成本也高，例如一个关键0day漏洞卖几十上百万美金也不为过，效果却不见得有多好。与之相反，内容信息向的攻击，成本低，操作简单，但却十分有效，「赛博幽灵」和「寰宇蝗灾」夜以继日，前仆后继，足以抹黑乃至打垮一家企业。

因此，大众直觉往往把泄露想象为「黑客入侵服务器」，但实践中更常见、也更难治理的，是多路径叠加，例如内部人员滥用权限或被社工钓鱼、外包与供应链环节的安全薄弱、或者内测人员受利益诱惑而松动等等。

紧接着，伴随技术手段的破解，例如客户端侧的逆向与数据挖掘等，随后，研发侧的原画、建模、动作、语音/文本等等，就会尽数泄露。

最后，再看攻击者侧的动机与产业化特征。

那就是牟利，这也是定义为黑灰产的主要原因，那就是稳定的黑灰产牟利模式。

卖给竞争对手，以及在网站上公布，通过流量分成和广告导流等牟利、接着还有电报等社群和订阅制可以再次收费，牟利点很多。

从「网络攻击」链路的角度来看，其实这位罪犯的这一系列数据泄露事件还是非常完整的，值得分析、参考和学习。

具体案例，具体分析。

接下来，我们可以按照上述分点，来逐步看看，这位罪犯到底是怎么样操作的。

「信息供给」：通常要么外部入侵，直接攻击开发环境或分发系统，要么就是搞社会工程学，找内部人/合作方/测试者侧去泄露，也就是安全行业里说的受信任主体滥用。

这里，其采用的是后者的典型变体，即通过社交渠道或其它渠道，吸引或诱导测试参与者提供测试包或访问材料，这相当于拿到了原始信息。

「数据解密」：也就是常说的解包或逆向工程，攻击者通过非法手段破解数据的加密保护，获取其中的机密信息。

这个，在材料里也说了：「 攻击者使用非法或不适当的方法未经授权利用米哈游游戏内的服务，包括但不限于提取源代码或对米哈游游戏中的任何加密材料进行黑客攻击或破解 」。

这步是最为关键的，因为像原神或者星铁这类游戏开发的测试包中，涉及到的往往是尚未发布的游戏版本、角色设计、武器配置等，这些信息对游戏的未来发展和用户体验至关重要，属于公司机密信息。

一旦这些信息被破解并泄露给公众，未来新版本的吸引力、商业价值和稀缺/新奇性就会大打折扣。

在这起案件中，该攻击者也是通过非法途径获得了米哈游的测试包，这些包包含了《原神》和《崩坏：星穹铁道》尚未公开的游戏内容。接着，通过逆向工程手段，成功绕过了米哈游为了保护这些敏感数据而设置的加密措施。

解包过程，不仅仅是对数据进行解密，还可能涉及对数据格式、游戏客户端的修改，甚至是对加密算法的逆向分析，这些其实都是网络攻击或者说网络入侵的一部分，属于违法行为。

「数据分析与传播」：也就是最终呈现给大众的所谓「玉衡杯」、电报群、以及提供给竞争对手的的信息来源。

这里，罪犯通过将解包后的敏感数据进行整理和归类，攻击者能将内容呈现给自己感兴趣的群体，还能通过高效的传播方式将信息扩展至更广泛的公众。

接下来，无论是出售解包数据获利，还是说将数据放到公开网站「玉衡杯」上，广泛传播，通过流量和广告等形式，都可以获利。

尤其是，其把所解包的数据给米哈游竞争对手，让竞争对手提前获得尚未发布内容的相关信息，进而抄袭后抢先发布，或公之于众，来恶心米哈游以及米哈游游戏玩家，这点实在过分且恶毒了。

回到「信息供给」，因为我对「妮可少女」和「玉衡杯」了解不多，也没怎么看过，不清楚其泄露的信息粒度有多大。

如果足够详细，我认为不仅仅是找内测用户拿内侧包可以做到的，甚至可能有内部工作人员充当内鬼来泄露未来版本的关键信息。

至于搞外部入侵，我倒是不太担心，以「妮可少女」这种招摇过市的姿态，不太像专业的黑客，估计没有那种技术力。

最后，让竞争对手提前获得尚未发布内容的相关信息，进而抄袭后抢先发布，或公之于众，这就真的该死了，十足的邪恶。

如果只是隐蔽交易，攻击行为的风险主要集中在交易链条本身。

买通内测者→拿到内测包→解包→私下悄悄搞黑产，卖给竞争对手。

这一套路其实是很隐蔽的，很难被发现。

因此，其会导致米哈游陷入阴湿的境地，不断被泄露信息，不断被竞争对手抄袭未来版本的内容并且先发，而自己却很难处理。

可以说，这种模式只要稳定下去，竞争对手会利用无数的「脏弹」把米哈游逼到一个舆论很差的境地。

然而，可见性与影响力成正比，与匿名性成反比。

选择建立「玉衡杯」网站和 Telegram 群，本质上是选择影响力最大化。

从长远来看，本质上其实是选择和米哈游对簿公堂，上庭审。

因为影响力最大化的代价，就是可见性最大化，可见性最大化的结果，就是溯源难度最小化，就是院审启动，就是天网恢恢疏而不漏，最终被发现，被逮捕。

搞社会工程学买通内测玩家，搞网络攻击做技术解包；

卖信息给竞争对手、开网站传播、开电报群传播；

非常嚣张的一名罪犯。

只能说：自作孽，不可活。

最后：迎接审判吧，网络攻击罪犯。