國內(nèi)知名“安全軟件”被曝“流量劫持”，360竟成最大贏家？

說起來有些悲傷，從初代互聯(lián)網(wǎng)時期走過來的朋友們，應(yīng)該都有過被各種軟件管家“制裁”的經(jīng)歷。

直到去年，還能看到有媒體正面報道有網(wǎng)友為自己關(guān)不掉的彈窗廣告崩潰。

什么“多達50多項的彈窗廣告設(shè)置”，“只能暫時關(guān)閉但無法徹底關(guān)閉的關(guān)閉選項”，都挺讓人忍俊不禁的。

如果在安裝或者卸載軟件的時候，業(yè)務(wù)不熟練，很可能還會一不小心觸發(fā)“支線任務(wù)”，下載全家福大禮包。

最搞笑的是，如果你想徹底卸載軟件，還必須在卸載界面的角落里，找到那個灰色的“忍痛卸載”。

本來我以為，上述已經(jīng)是這些安全衛(wèi)士的上限了——

無非就是擠占你的內(nèi)存，遠程給你安排點流氓軟件，時不時再給你來點彈窗廣告，賺點廣告費這樣子。

結(jié)果就在前兩天，火絨突然跟魯大師爆了，吐了一大堆“行業(yè)內(nèi)幕”出來：

指控魯大師為首系列企業(yè)遠程控制用戶電腦利用用戶流量進行變現(xiàn)。

火絨安全 11 月 11 日發(fā)文，稱“撕開魯大師為首系列企業(yè)流量劫持黑幕”。

火絨安全實驗室監(jiān)測發(fā)現(xiàn)，包含成都奇魯科技有限公司、天津杏仁桉科技有限公司在內(nèi)的多家軟件廠商，正通過云控配置方式構(gòu)建大規(guī)模推廣產(chǎn)業(yè)鏈，遠程開啟推廣模塊以實現(xiàn)流量變現(xiàn)。

簡單來說就是同云端遠程下達指令，控制軟件進行推廣。

根據(jù)火絨安全的說法，以魯大師為例，其推廣行為涵蓋但不限于：

1、彈窗廣告轟炸：利用瀏覽器彈窗推廣“傳奇”類頁游

2、靜默安裝軟件：在未獲用戶明確許可的情況下彈窗安裝第三方軟件

3、篡改購物鏈接：當你訪問京東時，自動在鏈接中插入"京粉推廣參數(shù)"，這樣你下單后，涉事企業(yè)就能賺取傭金，而你對此毫不知情。

4、植入偽裝插件：將推廣插件偽裝成"日歷助手"、"記事工具"等正常應(yīng)用，悄悄植入瀏覽器，難以被用戶察覺。

本來這種軟件賺點廣告費的盈利模式，大家都已經(jīng)默認了，但火絨表示，這些應(yīng)用還會和用戶“捉迷藏”，通過一些神奇的行為檢測來進行“動態(tài)推廣”。

其會根據(jù)用戶的地理位置、是否安裝了殺毒軟件，甚至是不是技術(shù)相關(guān)人員來區(qū)別對待。

比如，如果檢測到用戶的 IP 地址在北京，或者電腦上有分析工具，就可能減少甚至停止推廣彈窗。避開一些銘感區(qū)域和專業(yè)人士，挑相對而言比較安全的“小白”用戶下手。

還會檢測用戶的瀏覽器歷史記錄，如果發(fā)現(xiàn)用戶搜過“劫持”、“捆綁”、“流氓軟件”、“自動打開”等關(guān)鍵詞，或者訪問過相關(guān)的投訴平臺，也會停止向該用戶推廣，避免被敏感用戶察覺。

更搞笑的是，火絨安全還稱，在劫持瀏覽器的過程中，魯大師會對用戶是否訪問過周鴻祎的微博進行檢測，若檢測結(jié)果為已訪問，則不會進行推廣。

36：連夜瀏覽周總微博十遍！

總的來說，北京IP的不推廣、訪問過12315等網(wǎng)站的不推廣、懷疑是技術(shù)、安全人員的不推廣、充會員的用戶減少推廣……

這推薦機制就還挺靈活的說是。

而且這些軟件為了降低你的防線，以及增加安全分析難度，通常不會在你安裝后馬上開始工作，而是會等待7天后才啟動，每次推廣后還有180天冷卻期。

如果火絨曝光屬實，那就意味著廠商大概是運用了不少技術(shù)對抗手段，畢竟要對抗監(jiān)管和技術(shù)追蹤，數(shù)據(jù)加密、代碼混淆、多層跳轉(zhuǎn)啥的應(yīng)該是少不了。

火絨安全還稱，這些并非魯大師一家的行為，而是一個龐大的利益網(wǎng)絡(luò)——

數(shù)十余家不同時間、不同地區(qū)注冊的公司通過隱蔽的關(guān)聯(lián)關(guān)系相互連接，利用隱藏的結(jié)算體系進行利益輸送，并通過極其相似的云控模塊向用戶終端推送各類推廣產(chǎn)品。

火絨給了一份名單，是被發(fā)現(xiàn)與本次威脅具有較強相關(guān)性的軟件和企業(yè)（包括但不限于）：

據(jù)企查查顯示，成都奇魯科技有限公司（魯大師母公司）的第一大股東為360科技，持股比例41.67%，田野（魯大師CEO）持28.12%。

2025年中期，魯大師收入5.23億元，同比下降29.6%，而魯大師的營收中，廣告及推廣業(yè)務(wù)占營收比例高達98%，2023年魯大師曾推出過尊享版，試圖通過會員訂閱模式優(yōu)化營收結(jié)構(gòu)，但效果有限。

360有著和魯大師相同的困境，互聯(lián)網(wǎng)廣告及服務(wù)業(yè)務(wù)仍是主要收入來源，2025年上半年貢獻21億元營收，受行業(yè)整體下滑影響，增速也明顯放緩。

其安全業(yè)務(wù)毛利高達55.55%，但主要針對的To B業(yè)務(wù)收入占比不高。今年360反而通過AI業(yè)務(wù)拓展增加了不少收入，打通了新的增長曲線。

相對來說，魯大師這類中小企業(yè)在變現(xiàn)上的手段更少，面對行業(yè)整體下滑的抗風險性不高，也就能解釋這些軟件為什么絞盡腦汁也要采用各種手段小心謹慎的“劫持流量”了。

不過當下隨著操作系統(tǒng)和PC廠商自身的數(shù)據(jù)安全越做越好，防病毒類的軟件安全工具需求場景確實少了很多。

黑馬感覺，這次事件反而可能推動用戶對于"防騷擾、保隱私、護體驗"類安全軟件的需求。

火絨：我嗎？

不過在此之間，我們最好先養(yǎng)成軟件都去官網(wǎng)下載，安裝的時候注意不要勾選到捆綁安裝的好習慣。

資料來源：

1、火絨安全：“捉迷藏”式收割:撕開魯大師為首系列企業(yè)流量劫持黑幕!

2、IT之家：火絨“開撕”魯大師，怒揭流量劫持黑幕

3、魯大師2025年中期報告

撰文：柯然

編輯：Lena