Na semana passada, eu estava tomando um café com meu brother, e ele apontou para o celular: "Olha o Union que eu tenho, 1.200 membros, a outra turma tem 1.100. Tudo igual agora." Eu peguei o celular para dar uma olhada. O Hearth Hall estava deserto. Algumas poucas pessoas estavam correndo de um lado para o outro. O resto estava parado. Sem chat. Sem movimento. Eu comecei a contar. Em trinta minutos, no total, apenas 41 pessoas estavam realmente ativas.
"Eles estão parados assim e ainda estão contando, hã?" meu brother perguntou.
Sim, ainda conta. E eu comecei a explicar para ele como a Pixels sabe quem entre as estátuas é um bot.
A API de Eventos da Pixels captura esse padrão registrando o vetor de movimento. Um jogador real gera uma sequência de coordenadas que muda continuamente com alta variância. Um script parado gera uma sequência de coordenadas idênticas por 3.600 segundos consecutivos. O primeiro limite é bem simples: se o delta das coordenadas é 0 por mais de 30 minutos, a conta é sinalizada.
A segunda camada é o ID Graph. Eu encontrei um script Python no GitHub que suporta o farming de múltiplas contas para Pixels, automatizando todo o processo de cultivo e colheita em centenas de contas. Tudo rodando de um único VPS, ou seja, o mesmo endereço IP, a mesma impressão digital do dispositivo. Quando 200 contas compartilham uma impressão digital e realizam a mesma sequência de ações exatamente no mesmo horário, o ID Graph não precisa adivinhar. Ele sinaliza todo o grupo.
O Fraud Score agrega todos esses sinais em um único ponto. O sistema não divulga um limite exato, mas o mecanismo é claro: contas com profundidade de sessão abaixo de um minuto, taxa de venda de tokens acima de 90% logo após a reivindicação, e ciclos de atividade repetidos exatamente a cada minuto serão penalizados continuamente. Quando a pontuação cai abaixo do limite, a recompensa é automaticamente reduzida sem aviso prévio.
O legal desse sistema é que ele não precisa provar que você é um bot. Ele só precisa fazer com que a atividade de bot não tenha ROI positivo.
Mas foi o meu amigo que quase se deu mal. Ele joga de 10 a 15 horas por dia, colhendo manualmente a cada 2 horas por conta da natureza do trabalho que ele tem em horários fixos. No mês passado, a recompensa dele caiu 35% do nada. A reclamação demorou 5 dias para ser respondida, e a resposta foi apenas "sistema sinalizou comportamento anormal". Sem mais explicações. Aparentemente, o padrão de jogo regular dele coincidiu com a assinatura do script: ciclo de 2 horas, comportamento repetido, pontual como um relógio.
Essa é a razão pela qual a Pixels precisa de um registro de auditoria específico, não um mecanismo de reclamação vago.
Como deve ser o registro de auditoria? Quando a recompensa de uma conta é reduzida, o painel deve mostrar com precisão: "Recompensa reduzida em 35% devido a Ciclos de atividade repetitiva anormal nos últimos 72 horas com Dados: 14/16 sessões em 3 dias começando às 08:00:00 ± 15 segundos". Ou: "Recompensa reduzida em 20% devido a Taxa de venda de token de 94% nos últimos 30 dias com Limite sinalizado: 90%". E a última linha: "Você pode solicitar uma reavaliação por um auditor. Tempo de resposta estimado: 48 horas."
Três componentes: uma razão específica ligada ao comportamento, evidência de dados junto com um limite de comparação, e um botão para que um humano solicite uma revisão por outro humano. Bots não vão apertar esse botão porque seus donos sabem que estão errados. Jogadores reais que forem injustiçados vão apertar, e esse é o sinal de diferenciação final que nenhum algoritmo pode substituir.
Eu ainda passo no Hearth Hall toda semana. Continuo vendo as estátuas. O sistema captura algumas, perde outras. Mas eu não vou reclamar sobre a existência de bots. Eu só vou reclamar quando meu amigo for tratado como um bot sem ter como provar o contrário.