主流游戏对 Linux 爱答不理的问题，要被微软治好了

" 他们都不看好你，可你偏偏最争气 "，这句话简直是为 valve 的掌机 Steam Deck 量身定制。Steam Deck 的空前成功甚至让游戏掌机这个曾经被智能手机打得找不着北的品类，重新焕发了生机，也激活了手持游戏设备这一细分市场。然而 Steam Deck 并非适合所有人，比如《战地》系列的玩家。

就在《战地 6》即将上线的时候，其开发商 EA 方面宣布这款新游戏不兼容 Steam Deck，外界则普遍认为是 EA 采用的反作弊系统无法运行在 Steam Deck 所搭载的 SteamOS 系统上。从某种意义上来说，EA 的这个决定也反映了当下 Linux、macOS 游戏生态的尴尬，即后者繁荣的基础其实是基于 "Windows 兼容层 " 来实现的。

Linux 和 macOS 之所以能在过去两年迎来游戏数量的大爆发，并非源于原生游戏生态的建设，而是通过技术手段实现了对 Windows（DirectX）的兼容，在 Linux 上是 valve 的 Proton、macOS 上则是苹果的 Game Porting Toolkit。但这种将 Windows 游戏 " 编译 " 到 Linux、macOS 的做法并非没有代价，毕竟配套软件的缺失短时间内无法补上。

比如，AMD 与英伟达的显卡驱动虽通过开源社区的努力已经能够在 Linux 上运行，可 AMD Radeon、英伟达 GeForce GameReady 软件却还没法使用，这就导致 DLSS、FSR 需要非常复杂的手动配置才能在 Linux 设备上使用。而反作弊则更是 Linux 游戏生态需要补课的重点，其对于反作弊的支持不足也导致了对反作弊是刚需的 FPS、MMORPG 游戏与之无缘。

事实上，反作弊几乎是网络游戏的终极课题之一，在过去二十余年间，不知有多少优秀的游戏都是因外挂问题中道崩阻。为了延长游戏的生命力以赚取更多利润，反作弊由此也就成为了网游的刚需。可遗憾的是，由于 Linux 在游戏领域的缺位时间过于漫长，再加上 PC 游戏开发者长期忽视 Linux，所以大量的反作弊程序都是基于 Windows 实现。

最初的游戏外挂是以软件形式为主，它们利用网络游戏为降低服务端压力，将大量计算放在本地客户端的特点，通过修改客户端与服务端的数据通讯实现外挂的效果。例如早期的《传奇》就是把技能、目标、坐标等数据，以不加密明文的方式发包，外挂制作者利用这一点打造了大名鼎鼎的免蜡封包外挂。

随着《传奇》成为外挂的重灾区，游戏开发者就开始加密数据包，这时候外挂制作者又盯上了用于数据交互的内存，通过修改游戏本地内存里的数据实现功能增强。那么问题就来了，由于内存不仅仅处理游戏数据，还需要处理其他应用的数据，这使得游戏厂商不可能对内存进行加密，也导致内核级的反作弊程序应运而生。

比如，Epic Games 的 " 小蓝熊 "Easy Anti-Cheat、EA 用在《战地 6》上的 Javelin，就都是 Windows 内核级运行的反作弊程序。内核级的反作弊之所以会被业界视为反外挂的 " 救星 "，是因为 Windows 内核有特权，其允许运行在内核层的程序完全无限制地访问系统及其资源，能够监控游戏进程和系统行为，并结合签名检测、启发式分析，以及动态扫描来拦截外挂进程与注入行为。

EA 方面公布的相关数据显示，截至 2025 年 4 月，Javelin 累计阻止了超过 3300 万次作弊尝试，涉及 22 亿次游戏会话，并在多个热门游戏中将作弊率下降了一半以上。

所以缺乏对内核级反作弊程序的支持，就是一切对公平性有刚需的游戏拒绝 Linux 的根源。

不过 Steam Deck 的用户也不需要太过担忧，因为微软会出手帮助 Linux 来解决反作弊支持不足的问题。当然，拥有 Windows 的微软也不是急公好义，他们只是在解决另一个问题的同时，顺带让 Windows 和 Linux 对内核级反作弊的支持回到原点。

此前在 2024 年 9 月，微软发布博客文章称，他们正致力于 " 为内核模式之外的解决方案提供商提供更多安全功能 "。这一博文的背景，是发生在同年 7 月 19 日的 850 万台 Windows 设备出现蓝屏死机事件。彼时，美国网络安全巨头 CrowdStrike 在例行更新中，出现了一项逻辑错误。

并非微软的错误、却牵连到 Windows 设备，是因为他们在 2009 年与与欧盟方面达成了一项互操作性协议，所以不得不向安全软件制造商授予与自身相同的 Windows 访问权限。这就导致作为网络安全巨头的 CrowdStrike，在 Windows 内核释放了一个逻辑炸弹，成功 " 炸毁 " 了全球范围内使用 CrowdStrike 旗下产品的 Windows 设备。

以此为契机，为了防止再次出现 CrowdStrike 错误更新导致严重后果，微软方面开始尝试重新封闭 Windows 内核。一旦他们下决心封闭 Windows 内核，运行在此的内核级反作弊程序就相当于变成了无源之水。

当然，即便没有上述黑天鹅事件，微软也有理由取缔内核模式的反作弊。因为反作弊工具都会试图在系统调用入口（即 Windows 的 SSDT）上安装 hook 函数，而这些 hook 很容易与其他驱动和 Windows 本身的安全机制产生冲突。

实际上微软也有自己的反作弊机制，即 Windows 11 默认开启的虚拟化安全性（VBS）和 Hypervisor 强制代码一致性检查（HVCI）。其中，VBS 是 Xbox seres X/S 使用的安全技术，是通过 Hyper-V 虚拟化技术来确保内核页面的权限和内容不被篡改，阻止外挂 hook 系统调用，并通过强制启用 IOMMU 阻止外置 DMA 硬件读取系统内存。

唯一的缺陷是 VBS 会有明显的性能开销，平均会损失 10% 的性能。从某种意义上来说，微软其实是在主动促成 " 安迪 - 比尔 " 定律，通过关闭 Windows 内核授权来让传统内核级反作弊失效，并逼迫玩家使用性能要求更高的 VBS，进而推动他们更新 Windows 设备。

所以这样一看，微软似乎正在下一盘大棋，而 Linux、macOS 游戏则可能会顺便迎来意外之喜。

【本文图片来自网络】