青龙面板是一个管理和运行自动化脚本的工具,最广为人知的作用是实现 京东 自动化签到、打卡、农场浇水等,从而薅一些京豆和现金奖励。
但是耕读君建议大家不要使用此类工具去薅羊毛,理由是安全风险太大了。
来自面板的风险
青龙面板本身在 Github 上有开源项目,任何人可以阅读它的代码,因此并不是说这个项目本身就会窃取信息。
风险来自第三方发布者。
大多数人并不懂代码,他们能做的是在搜索引擎中搜索青龙面板的教程,而撰写教程的人或出于好意或出于恶意,常常建议读者“一键安装”,也就是通过一条命令自动运行发布者打包好的程序。
正如上面提到的,大多数人不懂代码,同样地,也不知道命令中引用的链接指向的是原版还是“加料”的资源。如果是后者,那么使用者从一开始就暴露在危险中,所有账户信息都可能被偷偷发送出去,并且可能为别人做嫁衣,成为别人可以随时控制的“肉鸡”。
来自脚本的风险
青龙面板相当于为使用者提供了一个平台,在这个平台上可以创建、修改、运行基于 NodeJS、Python 和 Linux 的脚本,因此实际“做事情”的是脚本。
在此又要啰嗦一句,大部分人并不懂代码,就算有,也没有精力针对每一个任务去自行编写脚本。由此,网上开始出现整合了少则几十、多则数百个脚本的脚本库,使用者可以通过订阅功能一键导入到青龙面板中。
就算确认面板是安全的,有人能确保几百个脚本中的成千上万行代码是安全的?
运行脚本需要提供账户的 COOKIES 或账号密码,拿到这些凭证就等于拿到了账户的控制权。如果脚本中包含恶意代码,那就相当于使用者主动把账户拱手相让。别说薅羊毛,账户里的资产可能都要先被人薅走了。
账号被封禁的风险
青龙面板最强大的能力是可以定时运行脚本,只要电脑、服务器开着,面板跑着,使用者设置好之后几乎可以一劳永逸。
但是随着时间的累积,使用者的账号有可能被封禁。
原因很简单,要分辨用户是手动操作还是通过脚本自动操作,对于技术雄厚的大公司而言实在太容易了。
一是区分客户端类型:面板可以模仿浏览器,但无法掩盖所有特征。越是流行的工具就越容易被识别,对应的反制措施也就越多。
二是从用户习惯和操作逻辑上判断:如果一个用户平时只是偶尔参加一个活动,但在某个时间段后所有活动一个不落,这显然是不合理的。另外在正常情况下,用户进入活动入口有特定的访问路劲,例如先打开首页,再通过其他菜单或 banner 进入,而脚本通常直接访问活动页面,这也不符合常理。最后,脚本是定时执行的,就算设置了随机延迟时间,那也只会分布在一定范围内,只要次数足够多就能够判断是否是真实用户的操作。
所以说,公司不封禁账号其实是睁一只眼闭一只眼,仅仅因为用户刚刚使用脚本,也没有薅得没有太过分。但是日积月累地,谁也无法保证公司会不会下狠手,那点小羊毛并不值得我们冒险。
写在最后
薅羊毛是人的天性,但我们要懂得取舍,权衡风险和收益。如果风险巨大而受益甚微,何不把时间用在其他能够产生更高价值的事情上呢?