舞萌DX伺服器爭議

maimai是日本的SEGA株式會社開發的一款街機音樂遊戲。2019年，中國街機遊戲公司華立科技取得國內代理權，將其引入中國大陸，其國服名稱為《舞萌DX》（以下簡稱「舞萌」），從12月5日開始稼動。雖然國服在一開始的更新進度曾經領先國際服，但在開始的一年多之內幾乎沒有更新，導致進度不僅落後於日服一年多，也落後於國際服好幾個月^[1]。有人將其歸結為疫情的影響，2020年幾乎沒有玩家外出遊玩；也有人認為是因為國內網費一年3000元，遠遠低於日服和國際服，使得SEGA不願提供更新。無論如何，這個情況是導致國內舞萌玩家對運營不滿的源頭。

舞萌的用戶登錄、數據更新都需要聯網。舞萌帳號綁定微信帳號，用戶通過「舞萌｜中二」微信公眾號獲取10分鐘有效的登錄二維碼，在機台上掃描該二維碼，就可以登錄遊戲。

一般認為，華立主要負責舞萌機台在中國大陸的推廣、銷售和維護，而遊戲內容和伺服器由SEGA控制。這一點可以從2025年12月22日的伺服器維護公告只有SEGA的落款而沒有華立的落款得到驗證^[2]。

舞萌的伺服器一直存在漏洞。maimai的日服、國際服、國服的遊戲軟體都已經被完整泄露（從機台上拷貝獲得），所以其伺服器接口也已被泄露。能夠連接舞萌伺服器的人在玩家社群中俗稱「科技哥」。

關於伺服器接口的具體情況，筆者沒有具體的了解，不過網際網路上有一些文章可以參考。以下是2025年12月維護之前的情況，不清楚之後有沒有更改。

機台與伺服器的通信主要涉及兩個伺服器，第一個是「會員伺服器」，第二個是「標題伺服器」（主伺服器）。玩家在微信獲取二維碼（一串代碼）後，機台通過這個代碼就可以向會員伺服器請求，得到該玩家的userId（帳號）。然後，機台利用userId向標題伺服器請求登錄，登錄成功後就可以向伺服器發送遊戲數據。^[3][4][5]

伺服器允許用戶登錄的一個前置條件是，用戶必須最近一段時間內在微信獲取過二維碼（或者剛剛結束一局遊戲退出）。然而科技哥可以能夠通過某些手段，在用戶獲取二維碼後搶先登錄^[3]。而如果僅僅是獲取數據的話，並不需要登錄，只要有userId就可以^[4]。

合法的數據訪問，只有兩個途徑，一個是在遊戲廳遊玩時在機台上訪問數據，另一個是通過微信公眾號的網頁訪問數據。除此之外的數據訪問都屬於非法，更不要說修改數據。

幾乎所有的舞萌QQ群都有查分bot。玩家給這些bot發送一個微信二維碼，bot向會員伺服器獲取玩家的userId，將其保存下來，今後就可以隨時查詢該玩家的遊戲數據。這些bot通常會連接到民間搭建的舞萌數據平台，其中最為知名的一個平台是diving-fish（水魚）。

2023年開始，舞萌伺服器頻繁遭遇網絡攻擊，導致機台聯網困難^[6]。玩家試圖登錄的話常常顯示「登錄失敗，請等待15分鐘」，即俗稱的「小黑屋」。即使登錄成功，也常常在遊戲結束時聯網異常，無法上傳成績，然後被小黑屋。在這種情況下，許多QQ群里的bot提供了「解小黑屋」的功能，通過上傳數據讓用戶的帳號狀態恢復正常。此後SEGA多次嘗試應對網絡攻擊，希望將其影響降低。遊戲軟體在2023年至2024年曾五次更新，以應對網絡不穩定帶來的程序錯誤，其中2024年7月11日曾停服維護一天^[7]。改動之後，有時登錄本身就需要等待十幾分鐘，等待時間到達上限之後可能還是會小黑屋，不過總體來說小黑屋的概率是降低了。與此同時，伺服器的驗證方式似乎有所改變，許多的bot一度不能使用。經過長時間的處理之後，小黑屋的問題稍有改觀。

幾乎沒有玩家反對用科技解小黑屋，因為這個做法顯然不會對伺服器造成什麼負面影響，並且其目的是為了讓自己的帳號可以正常遊玩。然而無論如何，使用bot解小黑屋，是許多玩家最早接觸到「科技」的方式，客觀上導致了「科技」的普及。科技一旦普及便一發不可收拾。出現了一些更加大膽的行為，一些玩家利用科技手段上傳遊玩記錄、獲得收藏品（包括通過正常手段無法獲得的收藏品）、一鍵解鎖歌曲。閒魚上還出現一些付費上傳數據的服務。SEGA與華立曾在2024年11月發布聲明，宣布對非法上傳數據行為採取「零容忍」態度^[8]。然而並沒有什麼效果。

較為典型的一種上傳數據的行為是「一鍵下埋」。在舞萌遊戲中，將一個版本的所有樂曲所有難度都打出高分（SSS/FC/AP）就可以獲得相應的姓名框（俗稱牌子）。很多人向科技哥購買服務，直接給所有綠、黃譜（低難度譜面）上傳成績。相當一部分玩家以「下埋花費時間太長，而且打簡單難度的譜面沒有意義」為由，將一鍵下埋的行為正當化。藉助一鍵下埋獲得的牌子在國服已經占據相當大的比例。另一種行為是「一鍵解鎖歌曲」。一般情況下，新曲的紫、白譜（高難度譜面）需要先通關紅譜才能解鎖，或者通過額外投幣、蹭已解鎖玩家等其他方式解鎖。有些玩家試圖證明一鍵解鎖是合理的，理由是日服有200日元（2pc）14天的DXPASS，可以全部解鎖，而國內的投幣解鎖價格明顯更高。筆者曾在出勤時通過額外投幣解鎖，結果旁邊的玩家直接建議加QQ群用bot一鍵解鎖，令筆者大為驚訝。2026年6月國服運營宣布處理一批非法上傳數據的帳號之後，相當一部分玩家在評論區公開表示使用科技是合理的^[9]。使用科技上傳數據是否合理，本身已經成為一個爭議話題^[10]。

在以上討論的內容之外，有一部分行為是無論如何都被絕大多數玩家強烈反對的。比如惡意給其他人的帳號上傳數據。可以認為這是系統的bug，假如帳號有異常數據，會無法正常登錄（不過某些情況下也可以通過科技手段清楚異常數據）。或者給所有歌曲發送全滿分成績，導致該帳號的成績不再有意義。另外，發動網絡攻擊本身當然屬於非常惡意的行為。

曾瑞國事件編輯

曾瑞國（B站暱稱：甘城）是一位舞萌玩家，擁有「舞神」牌子（即FiNALE代之前的所有歌曲全難度AP，可以認為是屬於個人的最高等級牌子）。2024年8月，在華立電子競技錦標賽（WEC）舞萌DX海選賽期間，曾瑞國輸給了另一名玩家，隨後他給對手的舞萌帳號發送了全滿分成績，即破壞帳號。隨後曾瑞國被華立永久封禁帳號，成為第一名被華立公開宣布封禁帳號的舞萌玩家。^[11]

熊谷凌與惡意發票事件編輯

熊谷凌是一位對舞萌伺服器進行過研究的玩家，他曾發表一篇公開信，呼籲SEGA提升伺服器安全性^[12]。2025年10月1日至7日，熊谷凌利用泄露的接口登錄自己的帳號，「為了引起SEGA的注意」而給自己發送了約500萬張功能票。與此同時，許多玩家發現自己的帳號被人發送功能票，導致帳號出現異常，無法正常保存數據。一些人認為惡意發票事件與熊谷凌有關，還有人（包括後面將會介紹的tatanako^[13]）認為熊谷凌發票導致伺服器受到損害，而熊谷凌否認這些指控^[14]。

tatanako公開所有玩家數據編輯

2025年12月17日，tatanako（たたなこ）在網際網路上發布了140萬名玩家的數據，這些數據是通過無需登錄即可獲查詢的接口得到的，包括userId、暱稱、RATING等。tatanako給發布的連結做了加密，密鑰與舞萌標題伺服器的密鑰相同，也就是說科技哥都有能力解密並獲取這些數據。玩家數據的公開意味著，一些不懷好意的人可以通過相關信息確定一名用戶的userId，這大大增加了所有用戶被毀號的風險。tatanako表示自己的目的是提供一個緩存伺服器，然而他遭到了一些人的攻擊^[13]。隨後tatanako被開盒，情緒不穩定的他隨即以不加密的形式公開了此前的數據和自己使用的Python腳本，並放言「這下小白也能任何人毀號了」^[15]。

由於tatanako宣傳自己的藥娘（MtF）身份，再加上舞萌玩家群體長期存在的一些對跨性別玩家的特殊意見，一些人把對tatanako的批評上升到對男跨女群體的批評。

12月19日晚間開始，網傳有科技哥使用tatanako公開的數據大規模攻擊舞萌帳號。與此同時，許多正在遊玩舞萌的玩家都發現自己的帳號出現了異常^[16]。其中一些較為嚴重的異常直接導致遊戲軟體崩潰，tatanako表示這是因為發送了不存在的數據，導致程序試圖加載不存在的資源^[17]。

12月22日，SEGA旗下承擔遊藝娛樂事業的子公司世嘉飛舞（SEGA FAVE）發布公告，決定從北京時間22日22時開始進行伺服器緊急維護^[2]。維護在12月29日14時結束^[18]。

伺服器未設置密碼編輯

2026年5月，網絡安全團隊cybernews宣布在網際網路上發現了華立的伺服器泄露數據。團隊在3月19日發現了由三台伺服器組成的一個Elasticsearch集群，包括1890萬條記錄，這些內容包括華立運營的街機遊戲的用戶遊玩數據，以及來自微信小程序的用戶ID（660萬個）、姓名、電話號碼等。在團隊向華立反應情況之後，以上伺服器隨即不再向公眾開放^[19]。一些人將其解讀為，伺服器是華立自己的，華立忘記設置密碼，導致數據可以公開訪問。

消息傳出之後華立的股價連續下跌多日。然而華立至今沒有對此事做出回應。大家期待的公安部門出動，目前也沒有看到。

我超，盒！你打的不是maimai dx，而是ii dx