GG扑克

博客 / GG扑克

Deckmate安全漏洞曝光 引发行业地震

2026年3月13日 德州扑克

一场足以撼动整个扑克行业的地震从拉斯维加斯传出。在Black Hat安全大会上，IOActive公司的三位安全研究员——Joseph Tartaro、Enrique Nissim和Ethan Shackelford——公布了他们对Deckmate自动洗牌机的研究成果：这款全球赌场使用率最高的洗牌机，存在致命安全漏洞，可被黑客利用实现"百分百控制"，精准预知每一张牌的位置。

这项研究的起点，正是2022年9月震惊扑克圈的HCL"J4o事件"。在那手牌中，业余玩家Robbie Lew拿着J♣4♥这种垃圾牌，在转牌圈用J高牌跟注了职业牌手Garrett Adelstein的大额下注，最终赢下26.9万美元底池。

下载最新APP

HCL事后聘请网络安全公司Bulletproof进行了长达两个月的调查，最终结论是："没有发现任何作弊的可信证据"。调查报告中特别提到："Deckmate洗牌机是安全的，不可能被入侵。"

正是这句话激起了Tartaro的挑战欲。他与两位同事对Deckmate2（最新版洗牌机）展开长达数月的研究，最终发现：只要有人能将一个小型设备插入Deckmate2暴露在外的USB接口，就能篡改洗牌机代码，完全控制机器。

Deckmate2通常放置在发牌员座位旁，靠近玩家膝盖位置，USB接口暴露在外。机器内部有一个用于监控每张牌是否完整的摄像头。黑客插入设备后，可获取摄像头访问权限，实时读取整副牌的排列顺序。通过蓝牙将信息发送给场外同谋，同谋再以暗号通知牌桌上的作弊玩家。

Tartaro演示："当我们黑进洗牌机后，就能对它实施百分百控制。获取摄像头权限后，我们知道整副牌的排列顺序。当洗牌机开始发牌时，我们能清楚知道每个人会拿到什么牌，以及公共牌会发出什么。"更可怕的是，如果有足够时间，他们甚至能研发出让洗牌机按指定顺序排列扑克牌的技术。

研究还发现，即使是没有USB接口和内置摄像头的Deckmate一代，也并非绝对安全。如果赌场员工或维修人员有机会打开洗牌机，访问存储代码的芯片，同样可能实现作弊。

这一发现直接挑战了J4o事件的官方调查结论。支持Robbie的一方曾辩称：转牌圈她虽然领先，但Garrett仍有反超机会，她不敢用J高牌跟注除非作弊。但如果她提前黑进了洗牌机，预知了河牌不会威胁她呢？一切就说得通了。

《连线》杂志就此事致信Deckmate生产公司Light & Wonder，该公司回应称："无论是DeckMate2还是其他L&W生产的洗牌机，从未在赌场中被入侵过。IOActive的研究并未发现DeckMate2存在任何设计缺陷，且测试是在实验室环境中进行的，这种条件在受监管的赌场中无法复制。"

但IOActive反驳称，Light & Wonder无法确知所有赌场的洗牌机是否曾被入侵。他们向《连线》展示了与L&W工程团队的邮件往来，L&W感谢他们分享发现，承认部分问题已知并计划修复，另一些问题则是未知的，也将修复。

这场安全地震引发行业深思。研究人员指出，美国各州博彩监管机构对赌场设备的认证标准已过时。Deckmate符合内华达州博彩管理委员会的哈希校验要求，但真正需要的是更强的"代码签名"加密——只有制造商拥有的密钥才能签署代码，这将使洗牌机极难被入侵。

J4o事件的真相或许永远成谜，但洗牌机安全漏洞的曝光，已足以让整个扑克行业重新审视：在科技飞速发展的今天，我们还能相信眼前看到的牌局吗？