几天前,我在这里发布了 BotPrints — 一款用于行为行为学的工具,用于识别发布模式,帮助管理员识别机器人而不需要阅读任何内容。
自那以来,真正的管理员安装了它,使用了它,并告诉我它在哪里是错误的。这篇文章是关于他们发现的内容和变化的。我想公开提名人们,因为反馈是真正有价值的。
MOD 1 (选择了匿名):
"限制"按钮调用Reddit的 muteUser API。只会阻止管理员邮件。机器人不使用管理员邮件——它们目标社区帖子以获取认可。被认为是可疑账户的按钮完全没有阻止它们发帖。
用户描述了他们的实际管理员流程——删除带有用户问题的内容,用户需要回答以提出申诉,升级如果没有响应,因为机器人永远不会响应。该工作流程现在是BotPrints的内置功能。也抓住了在仪表板中披露用户名的bug,信号名称不一致的三个表面,要求可点击用户名和悬停工具提示。
所有这些都是在v1.0.5中实现的。
Bot Bouncer开发者分享了他们的经验。
我知道Botprints在初始发布时会标记假阳性,我的担忧/恐惧变成现实,当开发人员指出机器人开发者已经适应了时间性规律和日常熵信号时。 —— 并且这些信号比它们捕获现代机器人更可靠地捕获不寻常日程的真正人类。正确。原始评分是累加的,这是其他管理员在大多数阈值上产生假阳性比真实检测更多的相同错误。
我对BotPrints的修复是共存门控。现在单个升高的信号被限制在35/100。55以上的分数只有当3+信号同时升高时才会解锁 —— 因为这才是区分自动化行为和不寻常日程的人之间的差异。也添加了25个帖子之前不计算任何分数的最低数据门槛,因为信号数学在6个数据点上是统计上无意义的。
r/Devvit 管理员标记了最关键问题。
报告表明该应用程序允许非管理员触发管理员操作。他们正确地标记了它 —— 动作处理程序没有进行服务器端权限检查。理论上,用户可以打开自定义帖子并触发Watch、Filter、Ban+Report而不需要是管理员。
每个动作处理程序现在在执行Reddit API调用之前在服务器端验证管理员身份。前端检查是装饰性——后端才是真正的强制执行点。感谢您在造成真正伤害之前抓住这个问题。
v1.0.5中发生了什么变化:
t2_0守卫添加到所有触发器中 —— AutoModerator事件导致gRPC 404错误在每个子редdit中执行每个动作,静默地损坏Redis配置文件onCommentCreate存储原始t2_XXXXXXXX用户ID作为用户名而不是解析它们 —— 评论和帖子被拆分到两个虚拟配置文件中,属于同一用户- 所有6个信号名称在分数条、雷达图轴、帮助文档和工具提示之间统一 —— 三个表面使用相同信号的三个不同的名称
- 4级强制执行系统取代了破碎的限制按钮:Filter → Modqueue,Remove + Appeal,Ban + Report
- 可配置的移除消息、modmail拦截、超时和自动升级的申诉工作流
- 基于数据量和信号升高计数的信心指标(低/中/高)
- 可配置的乘数的新账户放大器,针对小于某个年龄阈值的账户
- 滑动窗口计数器的raid警报,阈值可配置
- 每个自动化和手动操作的审计日志表,带有时间戳
一项清洁事项:
应用程序标识符从 botprintsdev 更改为 botprints 以匹配实际应用程序名称。旧应用程序在开发者.redd.it/apps/botprintsdev存档。新应用程序在开发者.redd.it/apps/botprints —— 目前在批准队列中,应该很快就能上线(希望如此)。
如果您安装了旧版本,需要安装新版本一旦它通过批准。对不起,带来一些摩擦。
感谢在这个期间安装BotPrints的每个社区管理员 —— 感谢您的信任。每个反馈都使工具在具体可交付的方式上变得更好。
P.S= 还在倾听,仍在改进!
BotPrints- 因为行为不说谎!
评论 (0)