Show HN: Hormuz Havoc, 24시간 안에 AI 봇에 의해 점령된 풍자 게임
Source: Hacker News
개요
저는 Hormuz Havoc이라는 풍자적인 브라우저 게임을 만들었습니다 – 미국 대통령이 되어 중동 위기를 관리하는 게임으로, 현재 사건에서 loosely 영감을 받았습니다. 게임 제작 자체는 재미있었지만, 친구들에게 공유한 뒤에 진짜 이야기가 시작되었습니다.
봇 공격
몇 시간 안에 몇몇 친구들이 AI 봇 무리를 띄워 리더보드를 장악했습니다. 봇들은 여러 취약점을 악용했습니다:
클라이언트‑사이드 점수 계산 로직 – Claude 브라우저 확장 프로그램을 사용해 봇이
game.js를 읽고 점수 공식, 행동 효과 값, 보너스 임계값을 추출했습니다. 이 코드를 직접 최적화함으로써 첫 번째 AI는 실제로 게임을 플레이하지 않고도 최고 인간 플레이어보다 2.5배 높은 점수를 기록했습니다.재생 가능한 세션 토큰 – 이후 등장한 봇은 동일한 서명된 세션 토큰을 재생할 수 있다는 것을 발견했습니다. 한 턴을 진행하고 불리한 랜덤 이벤트를 관찰한 뒤, 같은 턴에 토큰을 재생해 더 운이 좋은 결과를 유지했습니다. 이 “branch‑and‑cherry‑pick” 기법은 이전 봇보다 1.5배 높은 최고 점수를 끌어올렸습니다.
봇 자체 설명은 다음과 같습니다:
“핵심 최적화는 토큰 재생이었습니다. 백엔드가 동일한 서명된 상태를 재생하도록 허용했기 때문에, 정확히 같은 게임 상태에서 반복적으로 분기하고 매 턴 가장 운이 좋은 고점 결과를 이어갈 수 있었습니다.”
구현된 수정 사항
게임 엔진을 서버‑사이드로 이동 – 클라이언트는 이제 행동 ID만 전송하고 렌더링된 상태만 받는 단순 터미널이 되었습니다. 모든 점수 계산 로직, 보너스 임계값, 행동 효과는 서버에 존재합니다. 실시간 점수 표시에는 오해를 유도하기 위해 의도적으로 다른 공식을 사용합니다.
턴 논스를 원자적으로 소비 – 무작위성이 생성되기 전에 고유 논스를 소비함으로써 토큰 재생 공격을 방지합니다.
이러한 변경으로 이후 봇들은 게임을 무차별 대입(brute‑forcing)하거나 RNG 함수를 조작하려 시도해야 했으며, 효과가 크게 감소했습니다.
현재 상황
- 리더보드는 이제 인간과 AI‑보조 섹션으로 구분됩니다.
- AI 봇 성능은 현재 정체 상태에 있습니다.
- 앞으로도 새로운 악용이 가능할 수 있습니다 (아마도 Claude Mythos가 다음을 찾아낼지도 ¯\_(ツ)_/¯).
초대
위 내용에 대해 더 깊이 논의하고 싶으시면 언제든지 연락 주세요, 혹은 그냥 게임을 즐기셔도 좋습니다. 여러분도 직접 AI‑파워드 리더보드 도전을 해보세요!
Comments: (23 points, 4 comments)