Сегодня вечером в одном популярном телеграм-канале увидел вот такой пост:

Игра была знакомой, классический Flappy Bird.

Ставим цель

Цель простая: используя недочеты нейросети, забраться на верхушку лидерборда. Опыт показал, что выходить на первое место нужно без лишнего внимания. Поэтому никаких красивых и огромных чисел в результатах, просто обойдем текущего чемпиона на несколько очков.

Начало исследования

В первую очередь запустим игру с браузера на ПК, чтобы удобно работать с инструментами разработчика devtools.

Сыграв первую тестовую игру сразу видим запрос к api, отправляющий результаты.

В запросе не оказалось авторизации, поэтому просто копируем его (copy -> copy as curl) и работаем напрямую с api.

Примечание: у меня уже был открыт Postman, поэтому дальше я работал с ним. Но вообще, измененный запрос можно было отправить и из консоли браузера.

Вставляю в Postman: он из под коробки распознает curl и сам заполняет все атрибуты.

Что можно было бы улучшить?

1. Реализовать проверку целостности данных.
   Каждый запрос должен быть подписан с использованием секретного ключа. Это позволило бы серверу отклонять попытки подмены данных.

2. Перенести расчёты на сервер.
   Не доверять данным, присылаемым с клиента. Вместо этого отправлять на сервер события (например, прыжок, столкновение) и вычислять прогресс и очки на стороне сервера.

3. Ввести базовые проверки на аномалии.
   Например, валидировать, что длительность сессии соответствует ожидаемому времени игры и не выходит за реалистичные пределы.

Ну а мы в очередной раз забираем первое место и убеждаемся, что контроль качества должен оставаться за человеком (да простят меня нейросети).

Кстати, в своем телеграм-канале «Деплой в пятницу» я публикую всё, что не тянет на полноценную статью, и иногда туда попадает даже что-то полезное.