美国监控公司Flock近9万台AI监控摄像头中数十台被发现无密码裸露在公网,任何人可实时观看
科技调查者Benn Jordan通过商业物联网搜索引擎Shodan发现,美国监控公司Flock Safety部署的大量AI摄像头直接暴露在公共互联网上——无密码、无加密、无任何身份验证。404 Media核实并确认全美至少60台Flock Condor摄像头处于完全公开状态,任何人用浏览器即可观看实时直播、下载30天存档录像、进入管理后台更改设置,甚至一键删除证据文件。该记者亲赴加州Bakersfield站在摄像头前,同事在数百英里外的电脑上实时观看到他挥手的画面。暴露的摄像头大部分为Flock最新的Condor型号——配备云台变焦(PTZ)和AI追踪功能,能自动放大并锁定跟踪行人,无论其是否为嫌疑人。
Jordan在视频中演示了滥用的便捷程度:他从裸露画面中截取人脸,两分钟内通过商业人脸识别引擎锁定身份,进而查到对方的医疗记录、负债收入比、教堂出勤、购物明细和家庭住址(后者通过ParkMobile数据泄露交叉比对车牌获得)。在Georgia的自行车道上,他观察到一名轮滑者被多台摄像头接力追踪,AI甚至能放大到足以看清其手机屏幕正在播放的内容。据美国公民自由联盟(ACLU)数据,Flock在全美部署近9万台摄像头,覆盖超过5000个城市和执法机构,并接入约7000个监控网络。该公司估值75亿美元。参议员Ron Wyden和众议员Raja Krishnamoorthi已致函联邦贸易委员会(FTC)要求调查Flock的网络安全违规行为。据Fortune和Los Angeles Times报道,至少50个城市已终止或暂停与Flock的合同,Amazon Ring也已终止与该公司的合作。
来源:公开信息
ABAB AI 解读
这起事件的核心不是"黑客入侵",而是"根本不需要入侵"。Shodan是一个公开的商业搜索引擎,任何人花几分钟就能找到这些裸露设备。Flock的Condor摄像头出厂时未强制启用身份验证和加密,管理后台直接暴露在公网——这不是一个"漏洞",而是一个设计选择的后果。当一家估值75亿美元、拿着纳税人资金部署了近9万台设备的公司在最基本的安全层面存在如此缺陷时,问题指向的不是技术能力,而是商业激励结构:快速铺设设备、锁定政府合同的优先级远高于安全工程投入。安全研究员此前已多次向Flock报告漏洞,公司CEO在LinkedIn上声称产品安全合规,但404 Media记者实地验证后发现裸露摄像头在Flock做出公开声明时仍然可以无密码访问。
Jordan演示的两分钟身份识别链条暴露的是一个更深层的系统性问题:美国的数据生态已形成一个"监控拼图"——单一数据源(摄像头画面、车牌、ParkMobile泄露数据、公共逮捕记录、商业人脸识别引擎)各自看起来"可控",但交叉比对后产生的信息量远超任何单一来源。一个人在教堂的出勤、在市场的消费、在公园的独处、甚至手机屏幕上正在看的内容,都可以被拼接成完整的行为画像。这种能力过去只有情报机构拥有,现在任何会用浏览器的人都可以做到——前提是设备部署方连最基本的密码都没有设置。
Jordan提到的"一个成年人独自在空无一人的公园荡秋千"是这个议题最精确的隐喻。监控公司在营销中强调"霍桑效应"——被观察时人会改变行为——并将其包装为犯罪威慑力。但霍桑效应是无差别的:它威慑的不只是犯罪,还有所有人在认为自己不被注视时才会做的事——唱歌、练习一个新技能、或者只是坐在秋千上发呆。当9万台AI摄像头覆盖5000个城市、AI自动追踪每一个经过的行人、且部分设备的画面对全球任何人开放时,消失的不只是隐私,而是"未被观察的自由"本身。近50个城市终止Flock合同、Amazon Ring切断合作、国会议员要求FTC调查——这些反应说明,公众对无监管大规模监控的容忍度正在触及临界点。