巨大丑闻——帝国主义网络之心的完美缩影-华盟网

“越窄的SSL证书，越容易被证书链控制。”
——一位想象中的SSL漏洞研究者

如果这话听起来像是阴谋论，那么请你先看一眼Citizen Lab最新报告中的事实：一个名叫Webloc的系统，正在利用你每天刷到的购物广告，为至少四个国家的执法机构提供无需搜查令的实时定位监控，覆盖全球5亿台设备。

广告数据是“鸡肋”——食之无味、弃之可惜，原本只为推送一条你可能会点开的优惠券。但在Webloc的架构里，这堆鸡肋被精心喂养、转化，最终长成了情报界的“监控鱼魉”：沉默、深潜、无处不在。

核心数据一图看懂

维度	数据
监控设备总数	5亿台
每日处理位置信号	数十亿条
历史数据回溯能力	最长3年
报告研究方法	技术分析+采购记录+泄密文档+96份信息自由法请求
全球活跃服务器	219台（其中美国126台、荷兰32台、新加坡17台、德国8台、香港8台）

数据来源：Citizen Lab调查报告

一、技术漏洞暴露：广告鸡肋如何喂养监控鱼魉

当用户收到一个购物App的定向广告时，其背后的技术链路，与帝国主义的全球供应链并无二致。原料（用户数据）廉价采购，途中（广告交易平台）层层转包，最终抵达一个你从未授权、也从未见过的终点——情报机构的终端。

1. MAID：并非“密钥”，而是永不更换的房卡

移动广告ID（Android称GAID/AAID，iOS称IDFA）本应是可重置的标识符——它允许你重置、允许你拒绝追踪。然而现实是：绝大多数用户从未重置过广告ID。

根据对超过50亿次广告事件的数据分析，全球只有约0.18%的安卓用户选择删除了谷歌广告ID。即便是隐私意识最强的国家，这一比例也仅为德国的3.14%、法国的3%、美国的2.3%。Webloc系统利用的，正是这张“房卡”惊人的持久性——它通过接入广告交易平台，持续读取该ID附带的位置信息流（GPS、WiFi三角定位、IP地址等）。效果等同于：在你不知情的前提下，往你口袋里插了一枚24小时工作的国际监控摄像头。

🔧 技术注释： 广告ID并非“永久存储在ROM中”，但其持久性（用户极少重置）+广告链路的开放性，构成了监控的基石。

2. RTB：广告竞价的“公开叫卖”被劫持为情报集市

实时竞价（RTB）是程序化广告的核心机制。当用户打开天气、游戏或新闻类App时，App会发送一个包含设备ID、GPS坐标、IP地址、兴趣标签的“竞价请求”，在几十毫秒内广播给几十上百家公司竞拍广告位。

RTB数据流的关键节点：

text

用户打开App → App发送广告请求（含MAID、GPS、IP、设备信息）    → SSP（供应方平台）打包更多数据 → 广告交易所广播给数十个DSP    → 数据经纪商截取并转卖 → 监控公司（如Penlink）采购 → 进入Webloc系统

广播本身，就意味着任何人都能“听到”你的数据。 Webloc的运营方Penlink没有“黑”进去，而是合法地以数据经纪商的身份接入RTB生态，收集这些广播数据，再转手卖给政府客户。

3. 地理围栏：3年历史轨迹的“时间机器”

根据泄露的技术文档，Webloc支持地理围栏（geofencing）查询——执法人员可以在电子地图上绘制圆形、矩形或多边形区域，系统立即返回所有曾在该区域出现过的设备ID，以及这些设备长达三年的历史轨迹。该平台还能通过分析设备夜间停留地点推断家庭住址、通过日间聚集地点推断工作单位，甚至判断两个设备是否经常“结伴而行”。

二、全球客户地图：谁在用Webloc？

Citizen Lab通过技术分析、采购记录、泄密文档及96份信息自由法请求，绘制了Webloc的全球用户地图。

🇺🇸 美国

级别	机构/部门
联邦执法	移民与海关执法局（ICE）（2025年以无竞标合同签约）、西弗吉尼亚州国土安全部
军方情报	美国海军情报局、美国陆军太空与导弹防御司令部、印第安事务局警察
州级执法	德克萨斯州公共安全部
地方警察	洛杉矶、达拉斯、巴尔的摩、图森、达勒姆、埃尔克格罗夫市、皮纳尔县

来源：Citizen Lab调查报告

2025年，ICE以无竞标合同向Penlink采购了Webloc许可，引起了70多名国会议员的强烈反对。2026年3月4日，众议员Veronica Escobar、参议员Ron Wyden等70余名民主党人致信国土安全部监察长，要求对ICE和DHS恢复购买无搜查令位置数据的行为展开调查。ICE曾在2025年12月安排了一次国会简报会，但在原定日期的前一天突然取消，未作任何解释，也未提出改期安排。此外，DHS总监察长办公室2023年9月的报告已认定CBP、ICE和特勤局无搜查令购买位置数据的行为违反了联邦法律。

🇪🇺 匈牙利——欧盟首例

2026年4月9日，匈牙利成为第一个被确认使用广告数据监控系统的欧盟国家。调查显示，匈牙利国家安全特别局（NBSZ）自2022年起即开始使用Webloc，并在2026年3月（距离4月12日议会选举仅数周）悄然续签了许可证。

采购通过中间商SCI-Network Ltd. 操作——该公司由一位前反情报上校领导，与欧尔班办公室主任Antal Rogán关系密切。中间商加价高达300% 。VSquare调查还发现，这次采购紧随匈牙利政府投入数百万欧元的“本土”开源情报系统Quvasz因技术缺陷而失败之后。

匈牙利这一部署引发了欧盟GDPR合规的严重质疑——将广告数据用于监控目的，直接违反了GDPR的“目的限制”原则（个人数据不得用于与收集目的不兼容的场景）。

🇸🇻 萨尔瓦多——七年老客户

萨尔瓦多国家警察自2021年起便开始使用Webloc系统，已持续近七年。该国近年来以打击黑帮为由大幅扩张执法监控权力，人权组织多次批评其侵犯公民自由。

三、帝国主义的数字心脏：服务器分布揭示权力结构

调查共发现219台与Cobwebs产品部署相关的活跃服务器，分布情况如下：

国家和地区	服务器数量
美国 🇺🇸	126
荷兰 🇳🇱	32
新加坡 🇸🇬	17
德国 🇩🇪	8
香港 🇭🇰	8
其他	28

美国占据了一半以上。 从服务器布局来看，Webloc的数据中枢牢牢扎根于美国本土，欧洲（荷兰、德国）和亚洲（新加坡、香港）则扮演着区域性中转节点的角色——这恰是当代数字帝国主义的拓扑结构：核心在美国，触角在全球，数据在流动，权力在集中。

开发商背景

Webloc由以色列公司Cobwebs Technologies开发（2015年由前以色列情报人员创立），2023年与美国监控供应商Penlink合并后由Penlink负责销售。

Cobwebs早有不良记录：2021年12月，Meta因其运营约200个虚假账户从事侦察和社交工程活动、诱骗活动人士和反对派政客而将其从平台除名。Meta当时确认其客户包括孟加拉国、香港、美国、新西兰、墨西哥、沙特阿拉伯和波兰的机构，并指出“除了执法活动相关的目标外，我们还频繁观察到针对香港和墨西哥的活动人士、反对派政客和政府官员的攻击”。

四、安全框架背后的帝国主义逻辑

“人道主义”话术的遮掩

Penlink在回应公民实验室报告时称，其工具仅用于“打击犯罪”及“寻找失踪人口”。然而，其系统配置中却包含以下特征：

特征	实际情况
24/7连续数据收集	无自然停止点，与“寻找失踪人口”的短期紧急用途不符
三年历史回溯	如果仅用于寻找当前失踪者，为何需要查看三年前的轨迹？
执法机构自行管理	数据访问权限由客户（政府机构）内部控制，无独立监督

监控数据的经济规模

据市场研究机构报告，位置数据即服务（Location Data as a Service）市场正在快速增长：

年份	市场规模
2025年	28.2亿美元
2026年	33.9亿美元
2030年（预计）	70.6亿美元

年复合增长率高达20.4%。Webloc只是这一庞大产业的一个切片。

五、隐私认知的巨大鸿沟

Webloc之所以能大规模运作，关键在于大多数用户对广告ID的存在和意义毫无认知。以下数据揭示了这一“隐私鸿沟”的惊人规模：

数据项	数值
全球安卓用户广告ID删除率	约0.18%
美国用户退出广告个性化比例	约2.3%
德国用户退出广告个性化比例	约3.14%
法国用户退出广告个性化比例	约3%
印度用户退出广告个性化比例	约1.4%
iOS用户允许跨App追踪比例（ATT框架后）	约25%