空间、隐私与代码的暗流
About This Episode
本期我们从美国把 SpaceX 当作铁路共乘者的争议切入,剖析 Chrome 扩展的供应链窃密与 Notepad 的 AI 膨胀导致的远程代码执行漏洞,随后轻松漫游到一篇血统争议的吸血鬼长生文章,最后看看爱尔兰为艺术家试点的基本收入是否能点亮创意生态。
Links
小雅: 操,老冯你听这爵士乐,跟这机房的风扇声简直绝配。我这边刚把新硬盘装上,手上还沾着螺丝刀的油,你那边怎么跟菜市场似的?
老冯: 哟,小雅同志这是又给自个儿的「数据帝国」扩容呢?我这边啊,楼上那帮孙子装修,电钻声跟打桩似的,我都怀疑他们是不是在给我脑子开洞。
小雅: 得了吧,你那破楼估计早就该拆了。说正事儿,今儿咱聊点啥?我这新硬盘可不是白装的,总得存点有料的东西。
老冯: 嘿,你这不提醒我了嘛。最近这帮大厂啊,一个个跟打了鸡血似的,又是搞「元宇宙」,又是吹「Web3」,结果呢?用户数据还不是照样被当球踢。
小雅: 特么的,别提了!上个月我那破解版的地图软件,硬是给我推送了隔壁老王家的快递信息,你说这算不算「数字裸奔」?
老冯: 哈哈,你这算好的。我一个哥们儿,前阵子用了某家的「智能音箱」,结果他老婆跟他吵架,音箱直接来了句「建议您冷静」。你说这玩意儿是助手还是卧底?
小雅: 行了行了,别贫了。今儿咱就聊聊这「空间」和「隐私」的事儿,顺便扒扒背后那些代码的暗流。从自建服务器到云端监控,看看这帮资本和技术宅们到底在玩什么花样。
老冯: 成,那咱就从你这新硬盘开始说起。你这玩意儿自建是爽,可别忘了,你那 IP 一暴露,说不定哪天就有人顺着网线摸上门。
小雅: 切,我早就用了 Tor 加 VPN,再加上自个儿写的防火墙脚本,谁爱来谁来。不过话说回来,这年头真想完全「隐身」,还真他妈不容易。
老冯: 可不嘛,所以啊,今儿咱就好好唠唠这「空间」里的猫腻。从你手上的螺丝刀,到云端的那双「眼睛」,看看这帮人到底在你的数据上动了哪些手脚。
老冯: 诶,小雅,你刷到那个 SpaceX 被美国政府划成「common carrier」的新闻没?直接套铁路法管起来了。
小雅: 操蛋,我看了!这特么不是明摆着给 Musk 开后门吗?铁路法那玩意儿,动不动就「国家安全」压制工人罢工权,现在用来管火箭公司?
老冯: 嘿,你别激动啊。人家政府说了,SpaceX 给五角大楼运货,给乌克兰提供 Starlink,这不就是「关键基础设施」吗?
小雅: 关键个屁!SpaceX 现在又不运邮件,又不拉乘客,凭啥跟航空公司比?还不是因为 Musk 跟 Trump 穿一条裤子,DOGE 币都上天了!
老冯: 哎哟,你这话说的,1936 年航空公司刚被划成 common carrier 的时候,也没几家飞邮件啊。历史嘛,总是先立法再发展。
小雅: 少跟我扯历史!航空公司至少还能坐人,SpaceX 现在就两个土豪买了私人飞船票,这也叫「公共承运人」?价格都不敢公开报!
老冯: 嘿,你别说,评论区有个大哥说得更绝:「这跟铁路工人被 BNSF 压榨有啥区别?最后还不是资本家拿法律当工具。」
小雅: 对啊!铁路法那套玩意儿,工人想罢工得联邦政府批准,这不就是变相剥夺劳动权吗?Musk 之前还炒了八个员工,就因为人家写公开信批他!
老冯: 嗯,那个公开信事件确实恶心。不过 Musk 也不是吃素的,直接告 NLRB 违宪,然后趁着 Trump 上台,NLRB 就顺水推舟把案子踢给了 NMB。
小雅: 这不就是政治交易吗?Biden 时期的 NLRB 还在查 SpaceX,Trump 一上台,NMB 立马说「哦,SpaceX 是 common carrier,我们管」。
老冯: 政治嘛,总是这么脏。不过话说回来,SpaceX 现在确实承担了不少政府合同,ISS 运货、军方卫星,未来可能还要搞火星移民。
小雅: 未来个鬼!现在连「运邮件」的定义都对不上,就敢套铁路法?SpaceX 给 ISS 运的都是「员工信件」和「政府补给」,这也叫邮件?
老冯: 哈哈,你还别说,评论区那个 SilverElfin 说得更狠:「Trump 连 Twitter 都给套进去了,这不是明摆着给金主爸爸送礼吗?」
小雅: 操,这不就是赤裸裸的权钱交易吗?Musk 给 Trump 捐钱,Trump 就给他量身定做法律!铁路法管火箭,这特么比科幻小说还离谱!
老冯: 不过啊,小雅,你别光顾着骂。这事儿背后的逻辑是:当一家公司的业务足够「关键」,政府就会用法律手段确保它「稳定」。
小雅: 稳定个屁!Starlink 在乌克兰断网的时候,Musk 说关就关,这叫「关键基础设施」?这叫「Musk 基础设施」!
老冯: 行行行,你骂得有道理。但你得承认,这事儿开了个坏头:以后只要跟政府关系好,就能拿「国家安全」当挡箭牌,工人权益滚蛋。
小雅: 这不就是资本主义的本质吗?法律是给有钱人服务的,工人永远是韭菜!Musk 现在连「邮件」都没运过,就敢自称「common carrier」,以后是不是得管他叫「宇宙铁路局局长」?
老冯: 哈哈,宇宙铁路局局长,这个头衔不错。不过啊,小雅,你别忘了,当年航空公司被套上铁路法的时候,也没人想到有一天飞机会成为日常交通工具。
小雅: 少给我洗地!航空公司至少还能坐人,SpaceX 现在就两个土豪买票,这也叫「公共」?这特么叫「私人俱乐部」!
老冯: 行了行了,你气得咖啡都要洒了。不过话说回来,这事儿确实反映了一个问题:当科技公司权力太大,政府要么选择监管,要么选择合谋。
小雅: 合谋个屁!这特么就是合谋!Musk 现在连劳动法都能绕开,以后是不是得立法禁止工人呼吸,因为「影响火箭发射」?
老冯: 哈哈,你这话说得有点夸张了。不过啊,这事儿确实值得警惕:当法律成为资本的工具,那「公共利益」就成了笑话。
小雅: 操蛋,我刚看到这篇报告,287 个 Chrome 扩展,3700 万用户被窃取浏览数据,我特么直接裂开了。
老冯: 嘿,3700 万,波兰人口都没这么多,这数字吓人啊。不过说真的,这事儿也不新鲜,2017 年就有研究搞过这个。
小雅: 对对对,但这次更狠,直接整了个自动扫描管道,MITM 代理加 Docker,专门盯着扩展有没有偷偷发数据。
老冯: 嗯,核心思路挺简单的,给扩展喂不同长度的 URL,看它发出去的流量有没有线性增长。要是流量跟着 URL 长度涨,八成就是在偷数据。
小雅: 牛逼的是,他们还搞了个蜜罐,直接抓到五个 IP 段在疯狂刮数据,Kontera 这个爬虫简直无孔不入。
老冯: Kontera 背后就是 Similarweb 那帮人,老熟人了。你还记得 2018 年 Stylish 那个插件吗?也是偷偷发 URL。
小雅: 操,Stylish 我还用过呢,当时觉得挺好看的,结果人家在背后卖我的数据。这帮人真特么不要脸。
老冯: 评论区有个哥们说得好,你买了「诚实哥的出租车」终身套餐,结果诚实哥偷偷把公司卖给了坏人,你还蒙在鼓里。
小雅: 对对对,Rygian 那段话简直戳心,数字世界的所有权就是一场信任背叛。你信任开发者,结果他转手就卖了你。
老冯: 但这里有个道德责任的问题,原始开发者到底该不该背锅?有人觉得卖了就等于转让了用户的信任。
小雅: 我特么觉得该背!你卖了扩展,就等于卖了用户的信任链,新东家拿去干坏事,你至少得负连带责任。
老冯: 但 deanc 说得也有道理,出租车公司被用来抢劫,责任在劫匪,不在卖车的。法律和道德有时候对不上号。
小雅: 那技术上能不能解决?Chris2048 提的那个方案挺靠谱,私钥绑定开发者身份,换人就强制用户重新授权。
老冯: 嗯,但操作成本太高,gnl 说得实在,用 Brave 拦截、手动审计更新,或者干脆从源码构建。不过大部分人哪有这耐心。
小雅: 说到底,免费软件不开源,你就是产品。这帮数据贩子就是靠这个发财,还美其名曰「商业模式」。
老冯: 是啊,3700 万人的数据,随便卖卖就是一笔大生意。企业间谍、广告精准投放,甚至钓鱼攻击,样样都能用上。
老冯: 哎,小雅,你听说了吗?Windows Notepad 这回又整出幺蛾子了。
小雅: 操蛋,Notepad 都能搞出 RCE?这玩意儿不是当年连「Bush hid the facts」都只能算个段子的傻瓜工具吗?
老冯: 对喽,CVSS 8.8 分的大礼包,直接给你整个远程代码执行。你说这帮人是真不把「最小权限原则」当回事儿啊?
小雅: 特么的,Notepad 现在还整上 AI 了?我记得 WordPad 都被他们牺牲了,就为了给 Notepad 塞这堆没用的玩意儿。
老冯: 可不是嘛,当年 WordPad 多好用,结果现在呢?Notepad 直接变成了个「网络感知渲染栈」,你说这玩意儿跟文本编辑器有半毛钱关系?
小雅: 这帮 PM 估计天天想的就是怎么往简历上写「主导了 Notepad 的 AI 革命」。用户需不需要?管他呢,先整上再说!
老冯: 哈哈,你说得太对了。评论区有个老哥说得好:「他们得停止问「能不能加这个功能」,改问「这个文本编辑器需不需要网络感知渲染栈?」」
小雅: 这不就是典型的「简历驱动开发」吗?反正最后背锅的又不是他们,是那些被迫写「yes」的开发。
老冯: 哎,说到这儿我就想起当年外包团队的日子。领导让你加个功能,你敢说「不」?经济压力在那儿摆着呢,全球劳动力市场谁不是夹着尾巴做人?
小雅: 所以这帮人就拿 Notepad 开刀?当年「Bush hid the facts」好歹只是个尴尬的 bug,现在倒好,直接给你整个安全漏洞出来。
老冯: 可不是,当年那个 bug 顶多让你笑话笑话,现在这个 RCE 可是实打实的安全隐患。你说这帮人是不是真觉得 Notepad 从来就没「做完」过?
小雅: 做完?Notepad 当年就是个「done」的状态,结果现在倒好,非得给你整出一堆没用的功能,还美其名曰「进步」。
老冯: 进步?我看是「公司驱动的臃肿」。你说用户真需要 Notepad 里塞 AI 吗?还不是为了给自家的 AI 战略站台。
小雅: 对啊,WordPad 都被牺牲了,就为了给 Notepad 腾地方。微软这是真不把用户当回事儿,就想着怎么忽悠你用他们的 AI。
老冯: 你说这帮人是不是忘了 Notepad 当年是干啥的了?纯粹的文本编辑器,连个格式都不带整的,结果现在倒好,直接给你整出个「网络感知」的玩意儿。
小雅: 这不就是典型的「功能堆砌」吗?反正最后倒霉的还是用户,安全漏洞一堆,还得自己擦屁股。
老冯: 可不是嘛,你说这帮人要是真有本事,就把 Notepad 做回当年那个「傻瓜」工具,别整这些没用的。
小雅: 对,别整那些「网络感知」、「AI 渲染」的玩意儿,Notepad 就该是 Notepad,别给我整出幺蛾子。
老冯: 哈哈,你这话说得我都想给 Notepad 写个墓志铭了:「这里躺着 Notepad,死于功能堆砌和 AI 战略」。
小雅: 行了行了,别贫了。反正这事儿告诉我们,别信那些「进步」的鬼话,Notepad 就该是 Notepad,别整那些没用的。
老冯: 嗯,记住这个教训:下次再有人跟你说「Notepad 需要 AI」,你就直接给他一句「滚蛋」。
小雅: 操蛋,这篇《Why Vampires Live Forever》我看完就想骂街。
老冯: 哟,小雅同志这是又被谁气着了?来来来,跟冯叔说说,咱帮你骂回去。
小雅: 这文章写得跟 AI 吐出来的一样,句子短得跟机关枪似的,还他妈重复「It」s not X. It」s Y」这种烂梗。
老冯: 哈哈,你这评价可太犀利了。不过话说回来,这作者 Machiel Reyneke 的 bio 里可是明晃晃写着「AI work」,你说巧不巧?
小雅: 巧个屁!这不就是 AI 生成的营销软文吗?还他妈装得跟真的一样,说什么「vampire disclosure program」。
老冯: 哎,你别说,这文章的套路还真有点意思。你看他那「Phase 1 到 Phase 4」的 disclosure timeline,跟咱们搞技术的 roadmap 简直一模一样。
小雅: 少给他洗地!这不就是典型的 AI slop 吗?评论区那个「insulting to read, like the reader is a 5-year-old」说得多准啊。
老冯: 行行行,你先别急。我倒觉得这文章有点「editorialized AI slop」的意思,就是故意写成这样,讽刺一下那些 AI 生成的垃圾。
小雅: 讽刺个鬼!你看他那 Peter Thiel 的部分,说人家「pale, gaunt, appears to not age」,这不就是在黑硅谷那些老妖精吗?
老冯: 哈哈,你还别说,这比喻还真贴切。Peter Thiel 那「destroyed Gawker」的段子,跟吸血鬼灭口简直一模一样。
小雅: 就是!还有那个 Bryan Johnson,公然拿他儿子的血做实验,还他妈叫「multi-generational plasma exchange」。
老冯: 哎,你别光顾着骂,这文章的核心观点还挺有意思的。他说吸血鬼不是为了吸取年轻血液的精华,而是为了稀释自己老化的血液。
小雅: 操,这不就是在说那些亿万富翁搞「longevity」研究,其实就是在洗钱吗?
老冯: 哈哈,你这联想力可以啊。不过话说回来,这文章要是真的是 AI 写的,那它这讽刺功力可比一般的 AI 强多了。
小雅: 操蛋,老冯,你听说了吗?爱尔兰现在给艺术家发基本工资,一周 325 欧,直接白给!
老冯: 嘿,这事儿我刷推特的时候就看到了。2000 个幸运儿,摇号摇出来的,三年一轮换。
小雅: 特么的,艺术家就活该被养着?护士、老师、消防员天天救命救火,一个月工资还不够交房租呢!
老冯: 诶,小雅,你这话跟评论区那个「closewith」简直一个调调。人家问得更绝:健康、教育、安全不算「wealth」?
小雅: 对啊!凭什么艺术就高人一等?我昨天还看到个数据,说这项目三年花了 7200 万欧,结果还自称「赚回来了」。
老冯: 哦,你说那个成本效益分析啊。政府说艺术家拿了钱后少领救济,多花钱在创作上,GDP 还涨了。
小雅: 呸!这不就是变相承认艺术家以前都在吃低保吗?那其他行业呢?护士加班到吐,还得自己掏钱买咖啡提神!
老冯: 不过话说回来,这事儿也不是全无道理。艺术家确实穷,而且穷得很有「文化」。
小雅: 你少给我扯淡!穷就是穷,有啥文化不文化的。我就想知道,凭什么他们就能躺平三年?
老冯: 诶,你别激动。其实这事儿背后有个大逻辑 —— 艺术家是「政治安全」的试验品。
小雅: 啥意思?
老冯: 你看啊,全民基本收入(UBI)现在谁都不敢碰,太烫手。但给艺术家发钱,大家顶多吐槽两句,不会真闹事。
小雅: 哦,合着这是拿艺术家当小白鼠啊?万一效果好,再推广到其他行业?
老冯: 对喽!不过风险也大 —— 要是艺术家拿了钱还不干活,或者干活了作品没人看,那 UBI 就彻底臭了。
小雅: 那倒也是。不过话说回来,爱尔兰这帮艺术家也挺惨的,8000 多人抢 2000 个名额。
老冯: 可不是嘛。而且这钱够干啥?都柏林的房租一个月 2000 欧起步,325 欧一周,扣完税剩不了多少。
小雅: 所以这事儿最后可能还是房东赚了。政府发钱,房东涨租,艺术家还是穷。
老冯: 哈哈,你总结得太到位了。不过话说回来,这事儿也给咱们提了个醒 ——
小雅: 啥?
老冯: 下次咱俩要是混不下去了,可以考虑去爱尔兰当艺术家。反正摇号不看简历,看运气。
小雅: 操蛋,聊着聊着都快凌晨两点了,这期又得剪成两集吧?
老冯: 剪什么剪,直接原汁原味放出来,让听众感受一下咱俩在机房里熬夜的真实氛围。
小雅: 得了吧,你那破嗓子加上我这愤青语录,不剪辑直接放出来,RSS 订阅数估计得掉一半。
老冯: 切,真爱粉丝才不会在乎这些。再说了,用 RSS 订阅的都是老手,早习惯咱俩这调调了。
小雅: 行行行,反正今天算是聊明白了,空间也好,隐私也罢,说到底还是得靠自己动手。
老冯: 可不是嘛,自建服务器这玩意儿,跟养孩子似的,操心归操心,但爽起来没边儿。
小雅: 你这比喻绝了,下次咱俩录期《如何用代码养娃》,保准火。
老冯: 哈哈,有空再扯吧。硬盘装好了,咱俩赶紧撤,明天还得上班呢。
小雅: 走了走了,记得用 RSS 订阅啊,不然下期更新了你又得问我「怎么没提醒我」。
老冯: 得嘞,下期见,有缘再聊。