律师评析 | 关于全国首例“AI游戏外挂”案的「罪与非罪」

2023年9月,余江公安在线发布官方微博称,在腾讯守护者计划安全团队的协助下,成功破获国内第一起涉嫌违法制售针对《无畏契约》等射击游戏产品的“AI外挂”案,涉案金额达3000余万元,抓获犯罪嫌疑人10名,其中“外挂”程序作者2人,代理8人。

律师评析 | 关于全国首例“AI游戏外挂”案的「罪与非罪」

2024年5月6日,江西鹰潭市余江区人民法院对该案进行了一审公开宣判。根据官方报道称[1],被告人王某合为通过制作出售“AI外挂”的方式牟利,至案发,王某合非法获利共计629万余元,法院对主犯王某合以提供侵入、非法控制计算机信息系统程序、工具罪判处有期徒刑三年,缓刑五年。

律师评析 | 关于全国首例“AI游戏外挂”案的「罪与非罪」

从案发至今,网络上关于该案的讨论声一直不断,似乎无论是从技术角度还是法律角度来看,“AI外挂”构成刑法中的提供侵入、非法控制计算机信息系统程序、工具罪都存在很大争议。

01

案情回顾[2]

该团伙的核心人员王某仅26岁,原本是从事人工智能领域的研发工作,在2021年年初时,偶然在某第三方视频网站上看到了一条介绍射击的游戏“AI外挂”的讲解视频,出于职业的敏感,他认为这种专门针对射击类游戏的AI外挂如果能批量制作销售,可获得巨额收益。于是他找到能编写外挂软件的张某合作,制作完成涉案“AI外挂”之后,王某开始在网上发展多层级代理,为其销售涉案产品,至案发,王某团伙的涉案金额高达3000余万元。

律师评析 | 关于全国首例“AI游戏外挂”案的「罪与非罪」

02

什么是游戏外挂?

早在2003年12月,版署、信息产业部、国家版权局等五部门就发布《关于开展对“私服”、“外挂”专项治理的通知》,对外挂进行打击。该通知出台至今已有二十余年,通知中对于“外挂”的定义是目前唯一官方定义。

但在该通知当中,对于“外挂”违法行为的定义却十分模糊,可概括为:破坏他人游戏作品中的技术保护措施、修改作品数据的行为。

 

“私服”、“外挂”违法行为是指未经许可或授权,破坏合法出版、他人享有著作权的互联网游戏作品的技术保护措施、修改作品数据、私自架设服务器、制作游戏充值卡(点卡),运营或挂接运营合法出版、他人享有著作权的互联网游戏作品,从而谋取利益、侵害他人利益。

而游戏行业从最早的单机游戏到现在的网络游戏,游戏商的盈利模式早已发生天翻地覆的变化。对于售卖软件盈利的单机游戏而言,玩家在购买软件后加入外挂并不会对游戏商的利益造成较大损害,但对于网络游戏而言,游戏商的利益与玩家的上线时间,游戏道具等直接相关联,外挂技术会对游戏商的利益造成严重打击。

根据国家标准GB/T32413—2015《网络游戏外挂防治》,可将游戏外挂作出如下分类(下图):键盘模拟类外挂、系统加速类外挂、内存及游戏封包协议修改类外挂、游戏挂机类外挂、脱机类外挂、其他外挂。

律师评析 | 关于全国首例“AI游戏外挂”案的「罪与非罪」

03

“AI外挂”是什么?能否成立本案罪名?

1、“AI外挂”与传统外挂的区别是什么?

传统游戏外挂中,作弊功能的实现需要入侵、监控、篡改游戏内的关键数据。是通过修改游戏文件和修改计算机系统去达到破坏游戏平衡的透视效果,获取预知敌人位置以及自动瞄准这些功能。

“AI外挂”不依赖对游戏内数据的入侵、监控和篡改,能够将作弊行为模拟成人为操作。具体来说,外挂先用一个视频采集卡记录游戏的实时输出画面,并立即将其传输到另一台计算机,然后在这台计算机上用已经训练好的目标检测算法(YOLO)进行快速的目标检测。

一旦在传输的画面中识别出目标敌人,就直接算出鼠标需要移动的方向和距离。最后将这些数据发送到鼠标的输入控制设备,并进行自动瞄准,完成超越正常人类操作速度的快速射击。

律师评析 | 关于全国首例“AI游戏外挂”案的「罪与非罪」

总结来说,流程就是先获取游戏画面,再运算得出的数据,最后AI输入目标进行射击。在整个过程中,这样的辅助完全不在同一个程序,甚至不在同一个硬件上进行,另外也不需要修改游戏的文件不需要安装其他的插件,不依赖对游戏内数据的入侵监控和篡改,所以“AI外挂”,很难被游戏管理员监测到,自然能够逃过反外挂程序的搜查,并且理论上所有的FPS游戏(First-person Shooting game,第一人称射击类游戏),例如王者荣耀,使命召唤,CSGO,绝地求生以及本案中提到的无畏契约等都能使用。

律师评析 | 关于全国首例“AI游戏外挂”案的「罪与非罪」

2、“AI外挂”是否构成「提供侵入、非法控制计算机信息系统程序、工具罪」?

顾名思义,构成该罪名的前提是“入侵或非法控制”了计算机信息系统。从技术角度理解:

 

“入侵”[3]其表现形式包括:采用技术手段破坏系统防护进入计算机信息系统、未取得被害人授权擅自进入计算机信息系统、超出被害人授权范围进入计算机信息系统。更为通俗的说,“入侵”可以是未经他人同意,采取破解密码等技术手段,突破、穿越、绕过或者解除特定计算机信息系统的安全防护体系,擅自进入该系统,也可以是对数据的物理性拷贝和复制,设立假冒网站,欺骗用户输入账号、密码等信息,还可以是对于计算机系统的越权登录。而在侵入计算机信息系统后下载其储存的数据,便可以认定为非法获取计算机信息系统数据。

“非法控制”[4]主要是通过一对多的向某目标网站进行分布式拒绝服务(DDos)攻击,或者是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。与前述的入侵和获取数据的行为模式均不相同,而是一种更高程度的资源占取,导致合法用户的控制权被大比例的剥夺甚至是形成攻击者的排他性使用。

根据该案的鉴定意见:

 

案涉“AI外挂”中“cvc”等程序对多款游戏中游戏画面数据进行了未授权获取,对游戏中处理的鼠标数据指令进行了未授权的修改,增加了游戏中“自动瞄准”和“自动开枪”的功能,干扰了游戏的正常运行环境,属于破坏性程序。盒子程序源代码具有接收计算机USB端口传输的鼠标数据指令,并对指令进行计算解析,再将计算结果发送至计算机USB端口,从而实现控制计算机鼠标指针自动移动和点击的功能。

邵律师认为,若以该份鉴定意见将行为人定罪,可能有些单薄:

1、游戏画面数据进行了未授权获取——用户获得游戏画面,不需要取得授权

2、对游戏中处理的鼠标数据指令进行了未授权的修改——用户调用自己的鼠标或硬件的移动指令,不需要取得授权

3、增加了游戏中“自动瞄准”和“自动开枪”的功能——本案中并没有对游戏程序本身进行增加代码,是对自己的鼠标程序增加了自动点击功能。而关于鼠标宏,各大鼠标厂商基本都有驱动,里面都有宏设置,鼠标宏并未篡改游戏内数据,没有注入内存,虽然会影响到游戏的公平性,但并不能将之成为“外挂”。

4、干扰了游戏的正常运行环境——没有破坏游戏本身的代码环境

从原理上来看,案涉“AI外挂”并非传统概念中的游戏外挂,是一种计算机视觉技术,它完全独立于游戏之外,并没有修改游戏本身的内存和数据,而是通过不断训练AI感知屏幕人形轮廓、自动将鼠标平滑的移动到轮廓内,模拟玩家真人操作,实现“自瞄”。若能长周期的持续训练AI学习游戏画面场景,AI技术会越来越强。

网友们针对本案的技术流讨论也很有意思,可以简单总结为:“AI外挂”并没有篡改游戏数据,但腾讯可以检测的出来玩家有没有用此种方式“作弊”。

律师评析 | 关于全国首例“AI游戏外挂”案的「罪与非罪」

04

写在最后

 

你只要影响了游戏的公平性,损害了游戏公司和运营商的利益,让他们少赚钱了或者赚不到钱了,那你就是有罪。

——摘自某游戏up主对AI外挂技术的看法

邵律师认为,从法理上来说,对本案能否以提供侵入、非法控制计算机信息系统程序、工具罪定性仍存在较大争议,但如果从游戏商的角度广义理解“外挂”的概念,似乎只要使用了某些方法,让用户取得了不正当优势,就是“外挂”,并不管你是使用了AI技术,还是真正入侵、篡改了游戏内数据。如果本案的王某对于“外挂”的概念理解和上面这个up主一样“深刻”,可能就不会有本案的发生了。

虽然“法无明文规定不为罪”是一项基本原则,但法律规定本身必然无法对于日新月异的商业发展模式全面覆盖规制。就本案裁判而言,更多的是考虑社会效果——本案当中的“AI外挂”,虽然与既往裁判中的游戏外挂有着很大的差别,但客观上确实损害了游戏商的利益,也影响了游戏的公平性。

律师评析 | 关于全国首例“AI游戏外挂”案的「罪与非罪」

该案也警示了售卖此类“外挂”软件的商家,相关从业者还是要三思而后行。但笔者随手在淘宝上一搜,还是有不少售卖此类软件的店铺的。估计在忙着赚钱的时候,也无暇思考法律风险的问题。

这让邵律师想到了币安创始人赵长鹏曾经说过的一句话:“与其请求许可,不如请求谅解”,这是一句很有意思的话。

[1] 全国首例!余江法院公开宣判! https://mp.weixin.qq.com/s/N3Qxv1hS_R70auyBzOxz9Q

[2] [新闻直播间]全国首例“AI游戏外挂”案 http://tv.cctv.com/2023/11/27/VIDEa5p5vvMTNz7h5YmlDqiU231127.shtml

[3] 《最高人民检察院关于印发最高人民检察院第九批指导性案例的通知》中《检例第36号:卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案》

[4] 《人民司法(应用)》2011年第19期刊登的《最高人民法院<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>的理解与适用》