一般的风控系统能识别到哪些客户端风险？

Web 端的话，可以通过 JS 判断出客户端是否开启了调试器、模拟器，是否禁用 cookie 和其他存储，是否篡改了 platform/userAgent/屏幕分辨率等，是否 hook 了某些 API ，是否伪造浏览器 /OS ，是否开启代理等

APP 端的话不太了解，我知道的有越狱、多开、模拟器、调试啥的

完整的风控体系概念就大了，需要客户端上有设备指纹技术，加固 /混淆方案，验证码人机识别，后台有风控策略、决策系统，一般公司自研应该是很难的，国内有一些安全厂商是做这个的，可以去了解一下

去 github 搜索风控，有不少大牛整理过的这些笔记。 要系统学习风控，还是得有平台实践一次，跑路才行。

实际识别的风险主要看风险防控策略的维度是否丰富，单纯说风控系统的话常见的什么注册、登录、薅羊毛风险都可以防的。

设备是否越狱、Root 等高危风险，以及各类改机框架软件啊什么的，挺多风险点的。不过主要还是要靠背后的决策引擎来做风险判断

风控 = 数据 + 算法。优先级 数据 >> 算法，数据保证风控系统下限，算法提高上限。上面几个大佬说的，web 端的各种判断，移动端的各种检测等统称为数据。另外风控系统是分层，waf --> 反爬 --> 反作弊

风控整体非常复杂，最近也在尝试总结 [从 0 到 1 智能风控决策引擎构建]( https://mp.weixin.qq.com/s/JW_vEqjxNhDNySYVAT6j5A) ，欢迎指教。

设备类的风险其实只是前端的一小部分防控，现在基本依托于设备指纹 SDK 采集设备，防控包括不限于：
- Root/越狱
- 多开
- 虚拟机
- 云真机

感兴趣可以的话我也会在后续文章写一篇介绍，还是要结合 用户的 UBT 效果比较好。