安全研究员逆向工程发现:你客厅里的智能电视,正通过免费App里的SDK,变成Bright Data住宅代理网络中24小时在线的数据出口节点——而这一切,只需要你按一下遥控器上的「同意」按钮。
事件回顾
6月5日,安全公司Include Security的研究员Buchodi发布了一份重磅报告,掀开了AI数据产业链中最隐秘的一角:全球最大的住宅代理网络Bright Data,通过嵌入消费者App的SDK,将数亿台智能电视和手机变成了AI训练数据的出口节点。
这份报告的核心发现令人不安:你家的智能电视,可能是AI公司爬取训练数据的最后一公里。
漏洞机制非常简单:免费App在安装时弹出一个"同意参与网络优化计划"的提示——对手机用户来说,这可能只是不起眼的几行字;对智能电视用户,就是用遥控器方向键艰难导航到一个「同意」按钮。一旦同意,你的设备就加入了Bright Data的"150M+IPs同意池",成为AI公司绕过反爬虫系统的跳板。
Bright Data对此并不讳言。其官网明确宣传"400M+住宅IP"网络,并将"AI训练数据采集"列为核心应用场景。但普通用户几乎不可能意识到:自己客厅里那台24小时插着电源、常年待机的智能电视,正在为某个AI模型的预训练默默传输数据。
为什么智能电视是"完美代理节点"
Include Security的报告列出了一张令人震惊的对比表,解释了为什么智能电视比手机更适合做代理节点:
| 维度 | 手机 | 智能电视 |
|---|---|---|
| 电源 | 电池供电,需要充电 | 永远插着电源 |
| 网络 | WiFi+蜂窝,不稳定 | 固定WiFi,高速 |
| 在线时间 | 间歇性使用 | 24小时待机 |
| 带宽上限 | 低(蜂窝流量限制) | 几乎无限制 |
| 用户关注 | 活跃使用中 | 常年无人看管 |
| 同意界面 | 手机屏幕文字 | 遥控器方向键导航的文字 |
| 企业/家庭监管 | 较高(MDM、移动EDR) | 几乎没有 |
简单说:手机可能会没电、断网、被锁屏,但智能电视永远在线、永远插电、永远没有人检查它的后台进程。它是住宅代理网络的"圣杯"。
报告还指出,部分合作方确实在隐私政策中披露了与Bright Data的关系——例如PlayWorks就在其隐私政策中提及。但问题在于:有多少人会用遥控器逐字阅读电视App的隐私政策?
为什么AI公司需要你的电视IP?
这里涉及AI产业链中一个被严重低估的基础设施层:数据采集代理网络。
现代AI模型训练需要海量网页数据。但问题是:Cloudflare、DataDome、HUMAN等反爬虫系统会直接拦截来自数据中心IP的请求。AI公司无法从AWS或Google Cloud的服务器大规模爬取网页——那些IP早就被标记为"非人类流量"了。
解决办法就是住宅代理。把爬取请求通过普通家庭宽带IP发出——Comcast或T-Mobile的家庭用户IP——目标网站看到的是一个"真人"在浏览,不会触发反爬系统。
这就形成了一个完整的产业链:AI公司需要数据 → 购买住宅代理服务 → 代理商的SDK嵌入免费App → 用户点"同意" → 家庭带宽变成AI的数据管道。
Krebs在2025年10月报道,来自Aisuru等僵尸网络的代理"正大量涌入各种AI项目的数据采集工作"。FBI今年年初发布了关于住宅代理网络的正式警告。IEEE 2019年的学术测量就显示,这些网络被滥用的比例极高。
但Bright Data走的是"合法"路径——它不靠僵尸网络,而是靠"用户同意"。这就是争议的核心所在。
20,000+账户被黑的另一个维度
与此高度相关的是本月初曝出的Meta AI聊天机器人漏洞:黑客通过简单地"请求"Meta AI客服机器人,就重置了20,225个Instagram账户的密码——因为系统没有验证请求者提供的邮箱是否与账户关联。
这个漏洞和我们讨论的智能电视代理有一个共同的底层问题:AI系统正在被大规模部署到生产环境中,但安全边界远未建立。
Bright Data的SDK本身不是漏洞,它是商业产品。但它揭示了一个模式:AI产业对数据和基础设施的需求如此庞大,以至于催生了一个"合法但模糊"的灰色生态。用户点了"同意"——但真的知道自己在同意什么吗?
对AI创业者的三个启示
1. 数据采集的"最后一公里"正在被商品化
如果你的AI产品需要实时抓取网页数据,你不需要自己搭建代理网络。Bright Data、Oxylabs等公司已经将这个问题变成了可购买的API。理解这个基础设施层的运作方式,对做AI Agent、搜索增强、内容聚合的创业者至关重要。
2. 合规风险正在逼近
欧盟AI法案的透明度规则将在2026年8月生效。如果你的AI产品使用了通过住宅代理采集的训练数据,你能否向监管机构证明数据的合法来源?Include Security报告引发的讨论,很可能加速监管对这一环节的审查。
3. "同意"的边界需要重新定义
"用遥控器按方向键同意"是否能构成有意义的知情同意?这个问题不会只停留在智能电视上。AI Agent在执行任务时,用户的授权边界在哪里?当你的Agent代表你浏览网页、填写表单、爬取数据时,哪些需要显式同意,哪些属于合理使用?
这些问题对AI创业者来说不是理论探讨——而是即将面临的合规现实。
行动建议
- 检查你的数据来源:如果你在使用任何第三方数据采集服务,了解它们的数据获取方式是否合规。
- 关注EU AI Act的实施时间表:2026年8月是关键节点,提前做合规准备。
- 在设计AI Agent时内置透明度:让用户清楚地知道Agent在做什么、在用谁的资源。
我的看法
这个故事真正让人不安的不是技术本身,而是规模。400M+设备、24/7在线、用户完全不知情——这不只是一个隐私问题,而是一个关于"谁在控制互联网的基础设施"的结构性问题。
AI的军备竞赛不仅发生在模型参数和GPU数量上,也发生在数据采集的基础设施层。而这场竞赛的燃料,可能是你客厅里那台你几乎不再主动打开、但一直插着电源的智能电视。
#AI创业 #数据采集 #住宅代理 #隐私安全 #AI风向
本文由AI辅助创作,经人工审核编辑发布