HN 瞎聊・隐私、危机、快充的三重交锋
About This Episode
本期《HN 瞎聊》把握三大热点:Firefox Tor 指纹泄露的伦理争辩、988 热线背后的成效与争议、以及 CATL 7 分钟超快充是否能撼动换电格局,深度剖析技术、隐私与公共健康的交叉冲突。
Chapters
Links
小雅: 老冯,你他妈的又在机房里抽什么烟?这味儿跟 2026 年的二手矿机味儿一样,熏死个人。
老冯: 哟,小雅你今儿个脾气见长啊。我这不是刚把家里那台老掉牙的路由器拆了重装,顺手点根烟压压惊。你那边咋样,充电脚本跑完了?
小雅: 别提了,7 分钟充电模拟跑完,结果发现指纹识别那坨代码又他妈的泄露了用户数据。这年头,快充和隐私就像两口子吵架,一个比一个能作。
老冯: 哈哈,你这比喻绝了。今儿个咱们就聊聊这事儿呗 —— 隐私、危机、快充,三重奏直接给你整崩溃。最近这几个月,不是这家爆数据泄露,就是那家快充技术把手机烧成炭,再不就是公关危机处理得跟狗屎一样。
小雅: 可不是嘛,我昨天还看到个帖子,说某大厂的快充技术直接把用户手机充爆了,结果公关团队第一时间发声明说「我们非常重视用户体验」,重视个屁啊,重视就别把用户手机当炸弹啊!
老冯: 你这话说得我都想给你鼓掌了。这帮大厂啊,危机公关永远是「我们非常重视」,然后下面一堆用户骂「重视你妈」。今年这几个月,光是这类新闻我都看腻了。
小雅: 所以今天咱们就好好扒扒这事儿,看看这帮公司是怎么在隐私、危机和快充这三个坑里跳来跳去的。顺便聊聊有没有什么技术或者政策能治治这帮孙子。
老冯: 行啊,反正咱们也没啥正经事儿干,就当给听众们提个醒,别一不小心手机就变炸弹,数据就变泄露,公关就变笑话。
小雅: 那咱们开始吧,先从最近那个最火的快充事故说起。我记得是叫什么来着,对,OnePlus 的 240W 快充,直接把测试机给充爆了。
小雅: 卧槽,老冯,你刷到这个 Fingerprint.com 的爆料没?Firefox 的 IndexedDB 里藏了个稳定的 process-lifetime identifier,直接把 Tor 的「New Identity」功能给干废了。
老冯: 哦?又是一个「我们发现了一个隐私漏洞」的营销文?这年头,卖指纹识别服务的公司突然良心发现,开始主动披露漏洞,我怎么觉得这么假呢?
小雅: 不是营销文!人家确实披露了,Mozilla 都已经修复了,CVE 都发了。这个漏洞的核心是 IndexedDB.databases() 返回的顺序不是 origin-scoped 的,而是 process-scoped 的。
老冯: 嗯,听起来像是 Firefox 的 Private Browsing 模式下,IndexedDB 的数据库名被映射成了 UUID,然后这个映射表是全局的,对吧?
小雅: 对!而且这个映射表在 Firefox 进程存活期间一直存在,所以不同的 origin 可以通过调用 indexedDB.databases() 拿到相同的顺序,从而推导出同一个 identifier。
老冯: 所以 Tor Browser 的「New Identity」功能,说白了就是清 cookies、换 Tor 线路,结果因为这个漏洞,identifier 还在?
小雅: 没错!Tor 官方说「New Identity」是为了让用户的后续浏览行为无法被关联到之前的行为,结果现在全完蛋。
老冯: 这下有意思了。Fingerprint.com 自己就是做指纹识别服务的,现在主动披露了一个能破坏 Tor 匿名性的漏洞。你说他们图啥?
小雅: 图啥?图良心发现呗!他们自己都说了,这个漏洞修复起来很简单,就是在返回结果前排个序,去掉 entropy。
老冯: 良心发现?小雅,你太天真了。这年头,哪家公司会主动放弃自己的竞争优势?评论区有个哥们说得好:「No software wants to be fingerprinted. If it did, it would offer an API with a stable identifier.」
小雅: 那你的意思是,他们这是在作秀?PR 手段?
老冯: PR 手段不至于,但肯定有商业考量。你想想,如果他们不披露,万一被别人发现了,说他们明知故犯,那名声就臭了。
小雅: 但他们确实没有在自己的产品里利用这个漏洞啊。文章里也说了,他们避免在自己的指纹识别服务里使用这种漏洞。
老冯: 那又怎样?他们不利用,不代表别人不利用。再说了,这个漏洞的本质是 Firefox 的 IndexedDB 实现有问题,不是说他们自己写的代码有问题。
小雅: 所以你的意思是,这个披露更多的是为了「生态健康」?
老冯: 生态健康?这话说得好听。说到底,还是为了他们自己的生意。你想啊,如果所有浏览器都修复了这种漏洞,那他们的指纹识别服务就更「合法」了,对吧?
小雅: 合法?指纹识别这玩意儿本身就不合法!评论区那个哥们说得对,如果软件想被指纹识别,它会直接提供一个 API 来暴露稳定的 identifier。
老冯: 哎,小雅,你这就太理想化了。指纹识别这东西,用的都是浏览器「正常」的功能,比如 Canvas、WebGL、AudioContext 什么的。你说这是不是「exploit」?
小雅: 这还用问?这当然是 exploit!浏览器的这些功能又不是设计来给你做指纹识别的。
老冯: 但浏览器也没有明确禁止你用这些功能来做指纹识别啊。你说这是 exploit,那是不是所有利用浏览器「正常」功能的指纹识别都是 exploit?
小雅: 对!只要不是浏览器明确允许的,比如提供一个稳定的 identifier API,那都是 exploit!
老冯: 那我就不懂了。既然都是 exploit,那 Fingerprint.com 自己不也在做同样的事情吗?他们现在跳出来披露这个漏洞,是不是有点「只许州官放火,不许百姓点灯」的意思?
小雅: 这不一样!他们披露的是一个明显的漏洞,这个漏洞破坏了用户对隐私的预期。而他们自己的指纹识别服务,用的是浏览器「正常」的功能,虽然不道德,但不违法。
老冯: 行吧,就算你说得对。但你不觉得这个漏洞本身挺有意思的吗?IndexedDB 这种东西,谁能想到它的返回顺序会成为一个稳定的 identifier?
小雅: 确实挺绝的。这说明隐私漏洞不一定是直接暴露用户数据,有时候就是一些实现细节,比如这个 hash table 的 iteration order,就能成为一个 tracking vector。
老冯: 对啊,这也给开发者提了个醒。以后写代码,不能光看 API 的功能,还得考虑实现细节会不会泄露什么信息。
小雅: 不过话说回来,这个漏洞的修复倒是简单,就是在返回结果前排个序。Mozilla 这次反应挺快的,Firefox 150 就修复了。
老冯: 嗯,但这也说明一个问题:隐私保护这东西,不能光靠浏览器厂商的自觉。用户自己也得多留个心眼,比如定期重启浏览器什么的。
小雅: 重启浏览器?老冯,你这也太低级了吧。真正的隐私保护,还是得靠技术手段,比如沙盒、隔离、权限控制这些。
老冯: 技术手段?小雅,你太天真了。技术再牛逼,也架不住人性的贪婪。指纹识别这玩意儿,说到底还是因为有利可图。
小雅: 所以啊,这事儿最后还是回到了那个老问题:商业利益和隐私保护之间的平衡。Fingerprint.com 这次披露漏洞,到底是良心发现,还是商业算计?
老冯: 管他呢,反正漏洞修了,用户受益了。至于他们的动机,咱们就当是「无利不起早」吧。
小雅: 欸,老冯,你刷到这篇《纽约时报》的报道没?说 988 热线上线后,青少年自杀率下降了。
老冯: 哦?又是一篇「政策拯救世界」的鸡汤?我先猜猜,下面评论区肯定一片「美国医保真垃圾」的哀嚎。
小雅: 哈哈,你还真猜对了。不过这回有点意思,有人现身说法,说自己打完热线后情绪真的缓过来了。
老冯: 嗯,情绪缓过来了,然后呢?第二天醒来发现自己还是个社畜,房租涨了,医保不报销,该崩溃还是崩溃。
小雅: 靠,你这也太犀利了。不过评论区有个哥们说得更绝:有些地方派出警车,不是救护车,直接把人吓得更崩溃。
老冯: 这不就是「危机升级」服务吗?警察叔叔手铐一亮,「来,跟我去精神病院走一趟」,多温馨。
小雅: 别闹了,这事儿真有人遇到过。还有人吐槽,说医保跟工作绑定,失业了就等于失去治疗资格。
老冯: 资本主义的温情脉脉啊,你有病?先交钱。没钱?那你活该。
小雅: 不过说真的,枪支管控这块确实有用。数据显示,枪支锁起来,自杀率就降低。
老冯: 嗯,自杀很多时候是冲动行为,多一道锁,多一道门槛,就能救命。但美国人就是不爱听。
小雅: 评论区有个老哥说得好:每年 5 万自杀,100 起大规模枪击,媒体天天盯着后者,前者都快成背景噪音了。
老冯: 政治正确的代价啊。枪击案一出,全民哀悼,自杀?那是个人问题。
小雅: 还有更狠的,有人直接说:新自由主义经济下,社会腐烂是必然,股东价值最大化才是王道。
老冯: 这话我爱听。资本家才不会管你死活,他们只管股价。
小雅: 不过也有人提到安乐死,说如果痛苦无法缓解,应该有选择的权利。
老冯: 这倒是个哲学问题。但现在的问题是,很多人连活下去的权利都没有,还谈什么死的尊严?
小雅: 所以啊,988 热线可能只是个创可贴,真正的问题还在体制里。
老冯: 创可贴总比什么都没有强。但别指望它治好癌症。
小雅: 行了,咱俩吐槽半天,不如评论区那个哥们总结得好:社会病了,但没人真正想治。
老冯: 欸,小雅,你刚不是说今晚要重装路由器吗?怎么还在这儿盯着手机?
小雅: 别提了,老冯!我刚看到 CATL 这帮孙子又搞了个大新闻 ——7 分钟从 10% 充到 98%,LFP 电池,牛逼得一批。
老冯: 哦?又是「充电五分钟,续航两小时」那套把戏?这回连宣传口号都懒得换了?
小雅: 去你的!这次数据好像真不一样,-30 度下 9 分钟充满,还自带脉冲加热。内阻才 0.25 毫欧,比你家电热毯还低。
老冯: 哇,听起来像是把手机快充技术塞进了汽车电池里。不过,你信吗?1000 次快充后还能剩 90% 容量?
小雅: 我信个屁!但你不觉得这玩意儿一旦量产,NIO 那帮搞换电的就得哭晕在厕所吗?
老冯: 换电站的命运啊... 当初不就是因为充电慢才搞的换电吗?现在充电比加油还快,换电还有啥意义?
小雅: 意义?商用车啊!公交车、出租车,换电可以避开高峰用电,还能集中管理电池衰减。
老冯: 你是说那些在暴雨天趴窝的电动公交?或者半夜三点排队换电的出租车司机?
小雅: 靠,你别哪壶不开提哪壶!但你说,这快充技术真能解决日常充电的问题吗?
老冯: 日常充电?99% 的时间车都停在家里或者公司,谁他妈天天跑去快充站?这不就是个「旅行模式」的噱头?
小雅: 噱头?那你怎么解释评论区那个老哥说的 ——「城市规划得好,根本不需要汽车」?
老冯: 哦,那个「汽车是城市怪兽」的梗啊?说得好像美国人开的不是两吨重的皮卡,还非要在限速 30 的路上飙到 120。
小雅: 哈哈,他还说要买个能去火星的车!不过说真的,快充站的电网压力怎么解决?
老冯: CATL 不是展示了个「充电亭」吗?里面塞了个巨型储能电池,白天充电夜里放电,美其名曰「削峰填谷」。
小雅: 然后呢?储能电池不也会衰减?还得防火防爆,这成本谁来承担?
老冯: 当然是羊毛出在羊身上啊!最后还不是转嫁到消费者头上?或者干脆国家补贴,反正羊毛出在纳税人身上。
小雅: 靠,又绕到大厂割韭菜了... 不过说到补贴,你听说那个 Donut 的新电池没?号称无锂高密度,比特斯拉还牛逼。
老冯: Theranos 2.0 听起来怎么样?没独立验证,全靠 PPT,这不就是硅谷的老把戏吗?
小雅: 行行行,你老油条就是看谁都不顺眼。但 CATL 这数据好歹有第三方报道了,不像某些公司连个影子都没有。
老冯: 第三方报道?Ars Technica 那哥们不也说「I remain skeptical」吗?数据再漂亮,量产后能不能保持?
小雅: 所以你的意思是,这又是一场「看起来很美」的技术秀?
老冯: 技术秀?也许吧。但你不觉得这背后的逻辑很有趣吗?快充和换电,一个想让你「停下来等」,一个想让你「不停地跑」。
小雅: 然后呢?你觉得哪个会赢?
老冯: 赢?恐怕最后都是输。快充赢了,电网受不了;换电赢了,电池衰减受不了。消费者只能在「等」和「跑」之间选一个更不爽的。
老冯: 欸,小雅,你刚才不是说你家路由器重装了吗?结果发现 Firefox 的这个漏洞,简直细思极恐啊。
小雅: 对啊!这帮搞 fingerprinting 的公司,居然主动披露了 Tor 浏览器的漏洞,还顺带把 Firefox 给坑了。
老冯: 啧,你说他们图啥?明明自己就是靠卖追踪数据吃饭的,突然良心发现了?
小雅: 评论区有个哥们说得好:「No software wants to be fingerprinted.」 这帮人就是在利用浏览器的「意外行为」赚钱,结果还装成救世主。
老冯: 哈哈,这不就是「我是流氓我怕谁」的升级版吗?不过话说回来,Mozilla 这次反应倒是快,150 版本直接修了。
小雅: 修是修了,但你想啊,这漏洞都存在多久了?Tor 用户以为「New Identity」一键就能换身份,结果背后全是同一个 ID 在跑。
老冯: 诶,你刚才说「意外行为」,我突然想到 —— 这帮 fingerprinting 公司,是不是早就知道这漏洞,但一直没吭声?
小雅: 靠,你这么一说我更气了!他们就是在等 Mozilla 自己发现,然后再「负责任披露」刷好感度。
老冯: 不过话说回来,这漏洞也太低级了 ——IndexedDB 的返回顺序居然是 process-scoped 的,还不排序。
小雅: 对啊!这帮开发者平时写代码的时候,就没想过「诶,这个顺序会不会泄露隐私」?
老冯: 想啥呢,人家忙着赶 deadline 呢。再说了,谁会想到有人拿数据库的顺序当指纹用啊?
小雅: 行吧,反正这事儿又证明了 —— 隐私保护这玩意儿,永远是道高一尺魔高一丈。
老冯: 诶,说到魔高一丈,你刚才不是在跑充电模拟脚本吗?CATL 这新电池,10 到 98% 只要 7 分钟,你信吗?
小雅: 信个屁!这帮电池厂商的 PPT 你也信?上次他们说「1000 次循环保持 90% 容量」,结果呢?
老冯: 哈哈,你这愤青劲儿又上来了。不过话说回来,7 分钟充电确实牛逼,但你想想,这得多大功率啊?
小雅: 对啊!我刚才模拟的脚本,7 分钟充满,功率得 300 多千瓦,这得多少个特斯拉 Supercharger 才能顶得住?
老冯: 诶,你刚才说「模拟脚本」,你不会是拿你家那破路由器当服务器跑的吧?
小雅: 靠,你咋知道的?我家那台老古董,跑个脚本都卡得要死,但总比用公司的服务器强。
老冯: 哈哈,你这效率至上的愤青,居然还在用 2018 年的路由器。不过话说回来,这快充技术要是真能落地,Nio 的换电站不就成摆设了?
小雅: 对啊!评论区有个大哥说得好:「A well designed urban environment would have no cars.」 这帮人天天吹快充、换电,结果忘了最根本的问题 —— 城市就不该有这么多车!
老冯: 哈哈,这大哥绝对是个极简主义者。不过话说回来,快充再快,也比不上直接换个电池来得爽。
小雅: 爽个屁!换电站得多大成本?电池标准不统一,你换个五菱宏光的电池,结果特斯拉不认,咋整?
老冯: 诶,你这思路倒是对。不过话说回来,这 CATL 的电池,-30 度还能 9 分钟充满,这技术要是真能落地,北方的冬天就不愁了。
小雅: 落地个屁!你以为充电桩都是吃素的?300 千瓦的功率,一台充电桩得占多大地方?还得配个变压器,这成本谁来承担?
老冯: 行行行,你赢了。不过话说回来,这事儿要是真成了,咱俩以后出门就不用带充电宝了。
小雅: 靠,你还想得美!这电池要是真这么牛逼,我第一个买个电动自行车试试。
老冯: 欸,小雅,你今晚折腾路由器的时候,有没有想过你的 Tor 浏览器可能早就被人家摸透了?
小雅: 哈?老冯你别吓我,我刚把家里网络重新搭了一遍,结果你告诉我 Tor 不安全?
老冯: 不是 Tor 不安全,是 Firefox 的 IndexedDB 给你的隐私挖了个大坑。
小雅: IndexedDB?那玩意儿不是给网站存数据用的吗?怎么还能跟 Tor 扯上关系?
老冯: 对啊,原本是给网站存数据的,结果 Firefox 在 Private Browsing 模式下,这个 API 返回的数据库顺序居然是稳定的。
小雅: 稳定?你是说每次打开浏览器,这个顺序都一样?
老冯: 不止一样,而且跨标签页、跨域名都一样。甚至你关了 Private Window,只要 Firefox 进程没死,这个 ID 还在。
小雅: 我靠,这不就是个天然的指纹吗?Tor 的 New Identity 功能不是号称能彻底重置吗?
老冯: 对啊,结果这个 ID 直接无视 New Identity,人家照样能认出你。
小雅: 这他妈的简直是隐私界的灾难。那 Mozilla 怎么处理的?
老冯: 还能咋处理,打补丁呗。Firefox 150 和 ESR 140.10.0 已经修了,Tor Browser 也跟着修了。
小雅: 等等,这个漏洞是谁发现的?Fingerprint.com?这公司不就是靠卖指纹识别服务赚钱的吗?
老冯: 对啊,他们自己发现的,还主动披露了。你说这算不算自断财路?
小雅: 我靠,这公司有点东西啊。不过评论区有个哥们说得好:「No software wants to be fingerprinted.」
老冯: 嗯,这哥们说得对。如果软件想被识别,早就提供 API 了。
小雅: 所以这事儿引发了个哲学问题:如果指纹识别是利用浏览器的正常功能,那算不算漏洞?
老冯: 对啊,有人觉得这不算漏洞,因为没绕过任何反追踪措施。但问题在于,用户压根没想到这个 API 会泄露隐私。
小雅: 这不就是典型的大厂思维吗?「我们没做错,是用户太蠢」。
老冯: 哈哈,你这话说得太绝了。不过这事儿确实提醒我们,隐私漏洞不一定是黑客攻击,可能就是浏览器的一个小设计。
小雅: 行了,别扯了。我得赶紧更新我的 Tor Browser,顺便把 Firefox 也升级了。
老冯: 别急,还有个事儿。你听说 988 热线的事儿了吗?
小雅: 988?那个自杀预防热线?听说最近青少年自杀率下降了?
老冯: 对,官方说效果很好。但评论区可不这么看。
小雅: 怎么说?
老冯: 有人吐槽说,打了 988 之后,来的不是心理医生,是警察。
小雅: 我靠,这不是逼着人家更绝望吗?
小雅: 操,聊了这么久,我手机都快没电了,还好刚才模拟的快充脚本跑得飞起,不然得趴这儿充半天。
老冯: 你那破脚本能顶啥用,真遇上隐私泄露危机,充电再快也救不了你的数据。
小雅: 切,你就爱杠。不过说真的,今天聊的这堆东西 —— 隐私、危机、快充 —— 感觉像是三个不搭界的世界硬凑一块儿,但又他妈的处处相关。
老冯: 可不是嘛,技术这玩意儿,你越往深了挖,越发现全是连着的。就像咱俩这机房,风扇一转,电流一过,啥都跑不了。
小雅: 行了行了,别跟我整哲学。反正今天算是聊明白了,以后再看到什么「7 分钟充满」的广告,我得先问问背后的代码干不干净。
老冯: 哟,还挺有觉悟。不过话说回来,你那泛用型客户端用着咋样?别又整个封闭平台给我整丢了。
小雅: 放心,我早换了,RSS 订阅一把梭。想听下期的话,自己动手,丰衣足食。
老冯: 得得得,你赢了。那今天就先这样,下回有空再扯,我得回去看看我那老路由器还能不能救活。
小雅: 行,下期见。记得别又给我整什么幺蛾子话题,我可不想再熬夜跑脚本了。
老冯: 哈哈,那可不一定。走了啊,各位。