5月18日晚,渾水發佈針對跟誰學(GSX.US)沽空報告,稱該公司至少有70%的用戶造假,且公司虧損慘重。此外,渾水還指出,董事長陳向東至少抵押了3.18億美元的跟誰學股份,出借人是瑞士信貸。同時,該機構也是瑞幸咖啡的重要保證金出借人,長期持有跟誰學股票的投資者面臨的風險是,保證金出借人會大舉拋售股票,導致股價暴跌。
對此,跟誰學(GSX.US)立即發佈迴應聲明,稱渾水做空報告數據來源混亂,且充滿了對公司業務的無知,並對此表示譴責。跟誰學方面鄭重聲明堅持合法經營,並已真實、完整地披露財務數據。
爲便於投資者瞭解詳細情況,智通財經編譯該沽空報告全文如下,文中觀點不代表智通財經觀點。譯者能力有限,有疏漏之處請讀者海涵。
跟誰學:“機器人”崛起——殭屍用戶的狂歡
l 我們做空跟誰學,因爲我們認爲這幾乎是徹頭徹尾的欺詐。
l 我們得出的結論是,跟誰學至少有70%的用戶是假的,甚至懷疑這一數字至少有80%。
l 我們的結論基於跟誰學用戶和出勤數據文件,是從超過200個付費K-12課程下載的數據,覆蓋了54065個獨立用戶。
l 此外,一位前跟誰學經理證實了我們的分析,並解釋了跟誰學廣泛的機器人操作的各種細節。
l 基於幾乎全部的虛假用戶,我們假設跟誰學收入的欺詐部分至少等於欺詐用戶的百分比,如果跟誰學業務的真實部分的ASP也被欺騙性地誇大,我們也不會感到驚訝。
l 我們得出的結論,跟誰學虧損慘重。因爲沒有用戶,就沒有收入。我們還得出結論,跟誰學欺瞞性地少報了費用。
l 董事長陳向東的做法讓跟誰學的股票對多頭來說更加危險:他至少抵押了3.18億美元股票。長期持有跟誰學股票的投資者面臨的風險是,保證金出借人會大舉拋售股票,導致股價暴跌。
我們非常確信,在分析的54065個用戶中,至少有73.2%是機器人,甚至很有可能至少有80.8%。
上個月,陳董事長奇怪地試圖勸阻我們不要去盯跟誰學。在4月8日接受中國媒體採訪時,他表示:“我覺得渾水他要是認真分析我們的數據的話,大概率我覺得渾水不會那麼愚蠢,渾水那幫人的水平和智商還是蠻高的。”
這顯然是虛張聲勢。
機器人的搜尋與識別
我們分析了在2020年上半年的463217個登錄記錄(超過54065個跟誰學和高途課堂用戶,覆蓋200多個付費K-12課程)。研究結果顯示,我們識別出了三種我們高度確信的機器人模式,他們佔了全部唯一用戶的73.2%。如果加上第四個可能性較高的機器人模式,那麼佔比可以達到80.8%。如果將某些假設性條件更改爲對公司不利的話,那麼機器人佔比將接近90%。這些虛假用戶顯然是由跟誰學的老師和導師、以及第三方控制的。
所有的付費學生都可以用過谷歌Chrome、iPhone和一個代理服務器合法的訪問這些記錄。我們在附錄1中提供瞭如何訪問這些記錄的詳細說明。
通過將四種機器人模式結合在一起,我們認爲用戶實際上是一個機器人。前跟誰學經理證實了我們的觀察,並提供了有關跟誰學如何實施用戶欺詐的進一步細節。我們將這四種類型的機器人用戶稱爲:精確參與者(Precise Joiners)、爆發性參與者(Burst Joiners)、跟誰學IP參與者(GSX IP Joiners)、以及早期參與者(Early Joiners)。
精確參與者(Precise Joiners)
在我們的調查樣本中,超過一半(52.8%)的唯一用戶被確定爲機器人,因爲他們屬於“精確參與者”或與之相關聯。精確參與者是指在至少兩個不同星期的同一時間(對第二位用戶而言)加入同一堂課的用戶、以及與之相連接的用戶。我們認爲,對於單一用戶在一個課程中進行兩次或多次這樣的精確登錄的概率是非常低的。除了(普通人)用戶登錄的時間方面的差異外,在跟誰學自己的網絡中的互聯網流量和數據的流動方式也存在瞬間差異,這使得在相隔一星期或者更久更精確的第二星期登錄幾乎是不可能實現的。對於我們來說,這類似於每週從城市A搭飛機飛往城市B,在完全相同的時間降落兩次或者兩次以上。
在分析的54065個獨立用戶的數據中,我們發現有5742個用戶(10.6%)的登錄記錄符合這種精確的連接現象。還要注意的是,所有這些精確參與者都至少表現出了我們所討論的其他機器人行爲中的一種,這有力地證明了這種尋找機器人的方法。
雖然大多數的精確參與者只記錄了一個精確的連接(在同一秒內登錄兩個不同的場合),但是我們的數據發現,1261個(21.6%)獨特的精確參與者在兩個或更多的場合執行了這個壯舉,其中有一個精確參與者完成了9個精確的連接。
然後,我們將這些精確參與者與另外33145個共享相同IP的用戶和在完全相同的時刻(通常作爲爆發性參與者的一部分)加入課堂的用戶結合起來,在減去10342個重複數後,我們認爲有28545個用戶(52.8%)是虛假的。
跟誰學IP參與者(GSX IP Joiners)
在加上“跟誰學IP參與者”後,高置信度的機器人用戶總數達34534個,佔比63.9%。跟誰學IP參與者聲稱是唯一學生用戶,但也可以作爲老師或者學生、或與之相關聯的用戶,因爲他們共用相同的IP地址。由於跟誰學不再運營線下的實體學校或者學習中心,那麼學生不可能與老師或者導師共享IP。然而,我們發現15239名學生用戶(28.2%)至少有一次與老師或導師共享了IP。前跟誰學經理證實,一些老師或者導師爲跟誰學運營者機器人網絡。幾乎三分之二的跟誰學IP參與者也是精確參與者,這加強了我們所得出的結論。
此外,有1364個獨立用戶與這些跟誰學IP參與者關聯,通過這種方式識別的獨立用戶總數達到16603名,佔比30.7%。另外1364個用戶通過共享IP關聯了15239個學生用戶。
有10614個跟誰學IP參與者(63.9%)也是精確參與者。除去重複的唯一用戶,我們高度確信的機器人總數佔比達63.9%。
爆發性參與者(Burst Joiners)
我們統計了5016個爆發性參與者的機器人,使得高度確信的樣本達到39550個,佔比73.2%。爆發性參與者是指同一秒內涌入的用戶(4,528 / 8.4%),比如在同一秒內有20或30個用戶進入,以及通過共享IP鏈接到他們的其他用戶(488 / 0.9%)。更爲明顯的是,這些用戶的涌入經常發生在一段連續活動的中間節點。這一異常現象類似於我們在一小時內看到10列地鐵經過,其中9列完全空着,1列全是人。這並不符合現實生活的邏輯。
爲了加強我們的結論,62.8%的爆發性參與者至少表現出另一種高度確信的機器人行爲。我們非常確信,當這些爆發性參與者在課程開始的前後5分鐘以外的時間進入,這意味着一組機器人突然登錄進入課程。我們認爲,五分鐘的截止時間是對公司有利的,被排除的時間段內突然加入的機器人的真實數量可能是巨大的。
給定課程的爆發性參與者模式可以通過一個圖來表示,圖上的Y軸是時間,單位是秒,X軸代表每個唯一的用戶。當爆發性參與者現象發生時,此圖會顯示出很長的水平線。下圖顯示了在跟誰學平臺上運行了幾個月的一個小學高年級付費數學課程班的加入模式。下面的模式與我們的數據集中的課程模式是一致的。(請注意,水平白線代表課程開始的時間。)
在爆發點1上,有104個唯一用戶在課程開始前9分40秒的4秒內加入。在爆發點1中有6個精確參與者。
爲了對公司有利,我們不計算上課前5分鐘到上課後5分鐘的爆發事件。因此,儘管它們非常可疑,但我們不認爲爆發點2中登錄的是機器人,除非它們表現出一些其他的機器人行爲(包括作爲一個精確參與者在同一秒內加入)。
在上課前5秒至上課後3秒的9秒內,648名用戶(包括37名精確參與者)加入進來。因此,我們沒有將三分之二的這些用戶中計算爲機器人,因爲它們沒有在同一秒內作爲精確參與者加入。
儘管爆發點3發生在開課後的4分7秒(在5分鐘窗口期內),但我們將這些用戶算作機器人,因爲在這3秒內窗口期,96個遲到者中有3個是同時加入的精確參與者。
整體高可信度的機器人組合
在我們觀察到的各種機器人使用模式之間存在明顯的重疊。在獨立的基礎上,我們非常確信每個行爲都指示了機器人。然而,當我們看到不同行爲之間的重疊時,這些模式就更加牢固地建立起來了。三分之一的高可信度機器人表現出至少兩種機器人行爲特徵。大約一半的數字顯示所有三個標記。
機器人總數達到80.8%(包括提前參與者)
綜合以上三類,73.2%爲高可信度機器人。根據“提前參與者”的行爲模式,我們認爲另外7.7%(4143人)也很可能是機器人。
“提前參與者”指的是很早就登錄在線課程的用戶,因此我們認爲這些用戶很可能是虛假的。我們將截止時間設定在上課前30分鐘以上。而在現實世界中,在課堂上看到一些學生提前30分鐘以上是很正常的,但在網上我們預期並非如此。這類似於提前30分鐘以上登錄一個視頻會議。然而,對於跟誰學來說,提前的參與者並不是罕見的異常。
在我們的樣本中,獨特的提前參與者總數爲7579(14.0%),其中3676(48.5%)表現出至少一種其他假定的機器人行爲,這加強了其作爲機器人指標的價值。排除其他類別的重複結果,提前參與者人數達到3903人(7.2%)。新增共享IP地址的用戶使提前參與者總人數達到了4143(7.7%)。
如果我們將截止時間減少到上課前15分鐘以上,那麼提前參與者將增加1962人(3.6%)。
“團體控制”——前經理的確證
一位前跟誰學經理證實了我們對虛假用戶模式的觀察。他展示了對跟誰學機器人業務的詳細瞭解。他表示,該業務始於2015年。
他說,跟誰學使用軟件綽號“羣控制”(羣控軟件)來控制機器人網絡。他說,羣體控制顯然可以提高出勤率。這種控制機器人登錄模式的能力表明,跟誰學可能正在考慮如何僞裝其機器人活動。
羣控制的後端顯然擁有引導學生出勤率的工具,比如安排機器人登錄,並確定登錄模式。作爲典型的機器人農場,一個或多個服務器用於控制超過500到1000個或更多的手機(IMEIs)。每個設備將有一個單獨的手機號碼,微信號碼,並被編程購買產品,或參加一個課程,等等。
跟誰學也利用外部公司來運營機器人網絡。據這位前經理說,這些公司通常會根據所要求的任務獲得約2%至5%的佣金作爲補償。有些公司專門提供上課服務。有些人專門註冊課程並付費。跟誰學顯然提供了使交易合法化所需的現金,並且通過銷售和營銷費用或銷售線成本來記錄生成這些機器人的大部分成本。這位前經理提到了三家獨立的向跟誰學提供機器人用戶的公司,包括Weishi(跟誰學旗下的一款應用)和BaijiaYoulian(跟誰學30%的投資人)。
下面是一個大約2.5分鐘的不間斷片段,提供了一些特別有趣的細節:
前經理:跟學誰自己都有怎麼一個機房,一個機房裏面大概有上萬多的這樣的機器,就是我們叫做羣機器人,來自己去控制,一個人大概能控制一千多手機也沒有問題,然後去遠程也好,還是在機房也好,我可以控制所有的機器,然後去模擬真實的學生或者是真實的購物的數據,這個已經很成熟的技術。
Q:跟誰學他們自己有一個小的團隊來操作嗎?是這個意思嗎?
前經理:對。一直都,一直都有存在個團隊。
Q:一直是從哪一個階段來開始?是什麼17年,這樣,從新的一個模式?
前經理:不是,我們在二零,二零15年開始就有了。因爲那時候我們做O2O,我們給很多的機構引流,那時候學生特別少,我們要老師感覺來上課人不少,特別剛開始的時候,我們已經有這樣的技術,比如說只報了五個學生然剩下的500個我們就有機器人去,讓流量很大,上網去聽課,讓他們感覺這個平臺流量很大,從一五年開始就有。
Q:那這樣學費是怎麼做的呢?這個我有點不太瞭解,是給他們一個代碼免費買課程嗎?或者是這個小公司會怎麼樣付這個學費?
前經理:比如說我是跟誰學,我會跟另外一家公司,我會跟它籤,我要投一百萬的廣告,然後我會承諾給你,比如說,其中百分之2,你可以自己留下來,比如說你可以留下兩萬塊錢…
Q:兩萬快錢的佣金?
前經理:對,兩萬塊錢的佣金,這個兩外98萬你必須通過這些虛擬的手機號或微信的賬號然後購買我的課程就變成我的收入,是這樣子。這是一部分。這是跟誰學至少要虧本2%對吧。這是一小部分。另外一個是跟一些老師合作……就比如我同樣給你一百萬,然後我也會籤成市場費用,把你的,那你必須把一百萬賣回來,爲什麼這些小機構要怎麼做呢?是因爲你幫我你讓我操作這個動作,你自己在平臺上或微師開課的時候,我可以在在平臺幫你免費做免費的推廣,或給你一些廣告位,然後或者一些平臺上的推廣,我可以給你,但你必須把一百萬買回來,一般不會給他錢,是它,你自己投一百萬買回來,然後在後面我在市場上廣告補給你,或怎麼樣把錢還給你。是這樣的模式。這個時候跟誰學不會虧錢。就把一百萬轉一下,我用廣告位換你刷單的這個。
學生和機器人活動數據獲取和分析的方法總結
分析高途課堂和跟誰學網站需要兩種不同的方法。我們在附錄1中提供了更詳細的步驟說明。
跟誰學平臺有網站和桌面應用兩部分可供學生使用。用戶註冊並登錄後,打開Chrome瀏覽器的開發者工具,打開網絡選項卡,切換到XHR,就可以看到瀏覽器和跟誰學網站之間的數據傳遞。在這些數據中,有大量的信息,包括每一個購買的課件的存檔,這也是我們在兩個平臺上進行機器人活動分析時使用的數據。沒有使用任何特殊的工具或技術來進行分析。
高途課堂在設計和功能上與跟誰學網站非常相似,與跟誰學網站共享一些域名和資源。在設置好賬號和購買類目後,可以看到一些數據在瀏覽器中流動,很像跟誰學的情況。但是,高途課堂的數據並不能立即顯示出班級引用,所以多了一個必須的步驟。如果使用iPhone,需要在手機上安裝高途課堂應用,並且需要配置設備通過攔截式HTTP代理來發送數據。這種方法能讓我們的數據分析員觀看手機和跟誰學服務器之間的信息,看有哪些數據是來回傳遞,以此確定班級檔案的路徑。定位好班級檔案後,我們對所購課程的檔案進行了逐一下載和檢查。
我們驚訝地發現,這裏不僅有課件,而且有大量關於用戶的資料,包括:
1、 用戶號
2、 名字
3、 代稱
4、 頭像
5、 用戶類型(0,1,2)
6、 課程ID和/或班級ID(高途課堂只有班級ID)
7、 加入和退出班級的時間
8、 IP地址
爲了進行分析,我們的樣本包括了2020年1月至3月期間購買的200多個K-12年級付費課程,幾乎平均分配給了高途課堂和跟誰學網站。我們獲得的班級信息涵蓋了K-12年級的年級和學科。總的來說,我們分析了54065個獨特用戶(學生、輔導員和老師)的463217次登錄。高途課堂比較繁忙,約佔登錄人數的三分之二。
在班級數據中,我們找到了用戶號(也顯示在班級考勤記錄中),但也有用戶類型。通過將班級數據與跟誰學網站上的老師和導師頁面顯示的數據進行交叉引用,我們發現,在我們的數據庫中,100%的老師在跟誰學網站上列出的老師被標記爲1型用戶,100%的輔導員在跟誰學網站上列出的輔導員被標記爲2型用戶。關於這種方法的更深入的解釋,請見附錄2。
我們的用戶數據庫中,有29個1類用戶(教師),371個2類用戶(輔導員)和53,694個0類用戶。由於我們確定1類和2類用戶都是跟誰學的用戶,所以我們得出結論,剩下的0類記錄都是學生用戶(非教師、非輔導員)。
董事長陳向東3.19億元的抵押:
2020年3月3日,董事長陳向東通過旗下實體Ebetter International Group Ltd.抵押了600萬股B類普通股。這相當於900萬股美國存託憑證,市值3.19億元。考慮到跟誰學近乎於完全的欺詐行爲,此次質押給跟誰學的長線持有者帶來了更大的突然損失風險。我們不排除他還抵押了其他股票的可能性。
以下是英屬維爾京羣島公司登記處的抵押證明:
附錄1:學生和機器人活動的分析方法
分析高途課堂和跟誰學網站需要兩種不同的方法來分析,下面我們介紹一下。
跟誰學網站
這個平臺既有網站,也有學生可以使用的桌面應用。我們並沒有分析這個平臺上的任何移動應用,因爲它不需要。用戶註冊並登錄後,打開Chrome瀏覽器的開發者工具,打開網絡選項卡,切換到XHR,就可以看到瀏覽器和跟誰學網站之間的數據傳遞。在這些數據中,有大量的信息,包括用戶所購買的每一節課的存檔,這也是我們在這兩個平臺上進行機器人活動分析時使用的數據。
要發現存檔,需要在Chrome瀏覽器中完成以下步驟:
1、 登錄到你的賬戶。
2、 點擊任何一門已經結課的課程。
3、 點擊課程視圖按鈕(見下面的截圖),然後在Chrome開發者網絡視圖中選擇playV2項。現在尋找每個課程的pcURL值。複製每一項。
4、 保持Google Chrome Developer工具打開,粘貼你複製的第一個pcURL值並瀏覽它。你會在Google Developer Tools的Network選項卡中看到數值活動。
5、 單擊網絡視圖中的getPlaybackInfoV2項,在右側面板上查看數據。
6、 繼續查看數據,直到看到package_signal條目。這將包含存檔文件的URL:
7、 現在可以下載該壓縮文件,在Windows上使用7-zip或Mac OSX中的原生解壓工具來查看內容。
高途課堂
高途課堂在設計和功能上與跟誰學網站非常相似,與跟誰學網站共享一些域名和資源。一旦用戶註冊了賬號併購買了課程,就可以開始在瀏覽器中看到一些數據的流動,很像跟誰學網站上的數據。但是,在跟誰學網站上並沒有看到任何關於課程檔案的引用,所以需要進一步分析。
我們在iPhone上安裝了高途課堂應用,並配置了攔截式HTTP代理髮送數據。這樣我們就可以觀察到手機和跟誰學服務器之間的信息,以此觀察來回傳遞的數據。通過分析,我們得出了高途課堂與跟誰學網站存檔的路徑是一樣的。
發現班級檔案後,我們隨即下載了每一個購買的班級的檔案,打開檔案,檢查了一下內容。我們驚訝地發現,裏面不僅有班級資料,而且文件中還包含了學生信息、加入時間等詳細信息。
打開並檢查all.json文件,可以得到每個加入的學生信息,他們的用戶號、IP地址和時間戳等。此外,還有其他關於學生何時退出課堂的信息,以及其他與教師行動相關的信息。
當你查看錄製的課程時,瀏覽器也會檢索到all.json文件。
通過擁有IP地址、時間戳和用戶標識符,我們能夠在跟誰學網站和高途課堂上進行數據分析和機器人檢測。
附錄2:在數據中區分教師、輔導員與學生的方法
通過用戶號識別教師
在跟誰學網站上,每個老師都有自己的個人主頁可以訪問。這與高途課堂不同,高途課堂在其平臺上僅擁有所有教師的大圖片。點擊教師的個人資料圖片後,將直接進入他們的個人資料頁面。
注意,URL中顯示的號碼是老師的用戶編號。跟誰學網站和高途課堂上的每個用戶都有自己獨特的用戶編號。
在這裏我們可以看到教師的用戶編號(teacher number)是330361798。這時我們可以在數據庫的班級記錄中查詢到這個號碼。
在數據集中識別所有的教師、導師以及學生
一旦我們有了用戶編號,我們就能夠在課堂的數據庫中進行直接查詢,以檢查它們所參與的課堂,以及這些課堂的連接/離開模式。當我們從網站上查看老師和導師的記錄時,我們注意到有一個用戶“類型(Type)”字段同時出現在genshuixe.com和gaotu100.com的記錄中。
在手動檢查大量記錄並將它們與識別的教師和導師的用戶編號進行匹配之後,我們發現“用戶類型(User type)”字段告訴我們,教師被標識爲“type =1”,導師被標識爲“type =2”,學生被標識爲“type =0”。在包括29名教師和371名導師的數據集中,genshuixue.com上列出的教師100%被標記爲Type 1,genshuixue.com上列出的導師100%被標記爲Type 2。所有剩餘的紀錄類型爲Type 0,我們得出的結論是學生用戶(非教師、非導師)。gaotu100.com並沒有發佈最新的教師名單,只是發佈了一些教師的海報式的年鑑風格的照片。但是,由於我們的數據集中genshuixue.com和gaotu100.com之間的所有字段(All fields)都是相同的,所以我們假設兩個平臺之間的類型字段(Type fields)是相同的。
然後,我們對每個特定類型的用戶(類型0、1和2)執行查詢,然後交叉檢查所有用戶,看看哪些用戶與類型1和類型2(已知的教師和導師)使用的相同IP地址相匹配。下面是類型1、類型2和類型0的查詢結果示例。
Type 1教師查詢結果:
在上圖,我們看到用戶號碼爲813942178與張鎮老師相匹配。在我們的數據中,我們還有一個Avatar字段(從上而下用於格式化)。這是一個賬戶的頭像。對於上述用戶,頭像URL是:https://imgs.genshuixue.com/176512378_yc9r2tpn.png
這與Genshuixue.com教師頁面上顯示的這位老師的臉和頭像相匹配。
Type 2導師查詢結果:
在上圖,我們看到用戶號碼爲330361798,導師名爲“B 嶽雨豪~小雨老師”。“B”似乎表示他們被派往北京辦事處。該用戶的頭像URL爲: https://imgs.genshuixue.com/114226777_z0vg9fku.jpeg
這與Genshuixue.com教師頁面上顯示的這位老師的臉和頭像相匹配。
驗證Type 0用戶是學生:
我們無法通過發現老師的方法來發現學生的檔案。相反,我們通過從Genshuixue.com收集的評論,以幫助驗證Type 0用戶是否爲學生。我們收集了948,158條評論,從這些評論中我們發現了5,789個用戶在我們的用戶活動數據庫中進行評論,共計撰寫了29,245條評論。其中,5787人(99.9%)爲學生(Type 0),只有2位(0.03%)來自教師(Type 1)賬戶。我們沒有發現來自導師(Type 2)的評論。因此,我們非常確信Type 0用戶是學生。