作者 | Tina、核子可樂(lè)

近來(lái)，一個(gè)幾十年前成立的、最古老、最具傳奇色彩的黑客組織“復(fù)活”了。該黑客組織經(jīng)過(guò)三年的籌備和開發(fā)之后，將推出一個(gè)新的開源項(xiàng)目 Veilid，該項(xiàng)目可讓開發(fā)人員創(chuàng)建不收集或存儲(chǔ)任何個(gè)人數(shù)據(jù)的社交應(yīng)用程序。

大家日常使用的一些社交應(yīng)用程序，會(huì)收集一切信息：你的位置、你的聯(lián)系人、你的偏好、你的習(xí)慣、你的觀點(diǎn)……再利用這些數(shù)據(jù)向你推銷廣告、影響你的行為、操縱你的情緒，甚至監(jiān)視你。而 Veilid 的目的就是讓用戶擁有自己的數(shù)據(jù)，并決定與誰(shuí)共享數(shù)據(jù)。這可能并不容易，因?yàn)?Veilid 不允許有針對(duì)性的廣告或數(shù)據(jù)挖掘，而這是許多社交應(yīng)用程序的主要收入來(lái)源。

一個(gè)古老的黑客組織“復(fù)活”了

黑客組織“死牛崇拜”（Cult of the Dead Cow，簡(jiǎn)稱 cDc）可謂全美歷史最悠久、社會(huì)影響力最大的黑客組織，也是“黑客行動(dòng)主義”一詞的發(fā)源地。該組織的名稱源自早期成員們?cè)?span id="gg8g4gg" class="candidate-entity-word" data-gid="5821514816918700784">得克薩斯州拉伯克市的一處早期聚會(huì)場(chǎng)所——大家想的沒(méi)錯(cuò)，一處廢棄的屠宰場(chǎng)，曾以分發(fā)黑客工具和羞辱軟件公司來(lái)敦促其提高安全性而聞名。

該組織形式松散，而且不乏奇怪的分支，他們給駭客注入了道德準(zhǔn)則，并渴望追求品德“高尚”。早在上世紀(jì) 80 年代，青少年階段的 Beto O’Rourke（美政治家）就是該組織的活躍成員。cDc 最初只是在網(wǎng)絡(luò)公告版上撰寫故事，之后陸續(xù)迎來(lái)了如今網(wǎng)絡(luò)安全領(lǐng)域的眾多知名人士。比較有名的是其中兩名成員率先對(duì)廣泛使用的軟件中的安全缺陷發(fā)出公開警告，并開始在修復(fù)過(guò)程中與廠商協(xié)調(diào)披露事宜。

這對(duì)搭檔里就有 Peiter Zatko（更為人所熟知的綽號(hào)應(yīng)該是“Mudge”），曾任五角大樓國(guó)防高級(jí)研究計(jì)劃局（DARPA）的項(xiàng)目經(jīng)理，并在線上支付服務(wù)商 Stripe 擔(dān)任過(guò)安全主管。他后來(lái)被 Twitter 創(chuàng)始人 Jack Dorsey 聘用，負(fù)責(zé)監(jiān)督安全工作。在去年的國(guó)會(huì)聽證會(huì)上，他表示 Twitter 的安全實(shí)踐非常糟糕，違反了該公司此前與聯(lián)邦貿(mào)易委員會(huì)達(dá)成的和解協(xié)議。目前貿(mào)易委員會(huì)正在著手調(diào)查此事。

Twitter 前安全主管 Peiter “Mudge” Zatko 也是死牛崇拜的成員。

另一位先驅(qū)則是 Christien Rioux，他編寫了一款用于攻擊 Windows 設(shè)備的開源工具 Back Orifice 2000，并于 1999 年的 Def Con 大會(huì)上發(fā)布，因此十多年來(lái)他一直是 Microsoft 的眼中釘。Rioux 隨后與他人共同創(chuàng)立了 Veracode 公司，專門開發(fā)可查找潛在安全缺陷的掃描軟件。目前這家公司的估值已經(jīng)超過(guò) 20 億美元。

Rioux 和 Zatko 同時(shí)也是 L0pht 組織的成員，該組織在 25 年前曾向美國(guó)國(guó)會(huì)發(fā)出著名警告，稱互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全水平極其低下。另外，該組織還激發(fā)了標(biāo)志性隱私工具的創(chuàng)建，例如匿名瀏覽器 Tor。

該組織目前正致力開發(fā)一套新系統(tǒng)。這群技術(shù)活動(dòng)家們希望借助這項(xiàng)成果，構(gòu)建起不會(huì)保留用戶個(gè)人數(shù)據(jù)的消息傳遞和社交網(wǎng)絡(luò)應(yīng)用。

而得知此消息的網(wǎng)友們十分激動(dòng)：“當(dāng)我在 2000 年左右第一次聽說(shuō)他們時(shí)，他們已經(jīng)達(dá)到了某種神話般的地位?！薄疤彀?，當(dāng)初炸裂了的 cDc？！已經(jīng)很久沒(méi)有聽到這個(gè)名字了，以至于我都快要忘記了。就像，至少幾十年。太好了，他們還繼續(xù)活躍著！”“哇，完全是過(guò)去的回憶。好高興聽說(shuō)他們還在活躍！”

新的開發(fā)框架

cDc 組織開發(fā)的是一種可供應(yīng)用開發(fā)者使用的編碼框架，希望通過(guò)其強(qiáng)大的加密技術(shù)顛覆現(xiàn)狀，消除目前大多數(shù)應(yīng)用從常規(guī)數(shù)據(jù)中收集具體資料、據(jù)此發(fā)布個(gè)性化廣告的行業(yè)常態(tài)。

該團(tuán)隊(duì)選擇以 Signal 等免費(fèi)產(chǎn)品為基礎(chǔ)。Signal 能夠?yàn)槲谋鞠⒑驼Z(yǔ)音通話提供強(qiáng)大的加密功能，而 Tor 則通過(guò)一系列服務(wù)器路由流量來(lái)掩蓋上網(wǎng)用戶的真實(shí)位置，借此實(shí)現(xiàn)真正匿名的網(wǎng)絡(luò)活動(dòng)。

關(guān)于本次新框架的開發(fā)細(xì)節(jié)，將在下周于拉斯維加斯召開的年度 Def Con 黑客大會(huì)上具體披露。他們希望為消息傳遞、文件共享甚至是社交網(wǎng)絡(luò)類應(yīng)用打造新的基礎(chǔ)，用全面端到端加密的方式保證用戶信息安全、拒絕數(shù)據(jù)收集。

這套新框架名為 Veilid（發(fā)音為 vay-lid），開發(fā)人員可以利用它為移動(dòng)設(shè)備或 Web 端構(gòu)建應(yīng)用程序。開發(fā)團(tuán)隊(duì)表示，這些應(yīng)用程序?qū)⑹褂?Veilid 協(xié)議相互傳遞經(jīng)過(guò)完全加密的內(nèi)容。而且跟文件共享軟件 BitTorrent 類似，隨著更多設(shè)備加入進(jìn)來(lái)并分?jǐn)傌?fù)載，網(wǎng)絡(luò)傳遞速度會(huì)變得越來(lái)越快。在這種去中心化的“點(diǎn)對(duì)點(diǎn)”網(wǎng)絡(luò)中，用戶彼此在對(duì)方處下載數(shù)據(jù)，而不再依靠集中化服務(wù)器設(shè)施。

在架構(gòu)上，Veilid 是用 Rust 編寫的，使用強(qiáng)大的加密技術(shù)，并且節(jié)點(diǎn)可以在 Linux、Mac、Windows、Android、iOS 以及瀏覽器的 WASM 上運(yùn)行。它通過(guò) UDP、原始 TCP、Websockets 和安全 Websockets 進(jìn)行低級(jí)別的通信協(xié)議。節(jié)點(diǎn)被優(yōu)化用于低延遲、高節(jié)點(diǎn)變動(dòng)，并且特別能夠處理低級(jí)別的網(wǎng)絡(luò)變化，比如在通信過(guò)程中從蜂窩網(wǎng)絡(luò)切換到 Wi-Fi 網(wǎng)絡(luò)。

與其他開源項(xiàng)目一樣，工作中的最大難點(diǎn)在于說(shuō)服更多程序員和工程師花時(shí)間來(lái)設(shè)計(jì)與 Veilid 相兼容的應(yīng)用程序。盡管開發(fā)者可以選擇付費(fèi)應(yīng)用或者彈窗廣告，但由于無(wú)法收集用戶的詳細(xì)個(gè)人信息，所以不可能拿到分發(fā)針對(duì)性廣告或向特定用戶群體推銷產(chǎn)品的這部分傳統(tǒng)收益。

Veilid 背后的開發(fā)團(tuán)隊(duì)尚未發(fā)布關(guān)于設(shè)計(jì)路線的說(shuō)明文檔，只提到他們是在初始開發(fā)的消息傳遞應(yīng)用上進(jìn)行協(xié)作。這款應(yīng)用無(wú)需電話號(hào)碼即可運(yùn)行，但目前還沒(méi)有供對(duì)外發(fā)布的測(cè)試版本。

目前社交網(wǎng)絡(luò)和聊天用戶對(duì)于 Twitter 和 Facebook 的不滿已經(jīng)積累到了臨界點(diǎn)，在市場(chǎng)混亂、沖突的大背景之下，大家也更愿意抱著嘗試的心態(tài)接納新生事物。

非營(yíng)利組織電子前沿基金會(huì)執(zhí)行董事 Cindy Cohn 表示，“人們正在開發(fā)一套全面覆蓋的端到端加密框架，這真是太棒了。我們有望突破固有的監(jiān)控商業(yè)模式。”

經(jīng)過(guò)三年的籌備和開發(fā)之后，Veilid 終于降臨人間，成為黑客和安全領(lǐng)域中罕見的“野心之作”。

Veilid 是 cDc 這十多年來(lái)最重要的發(fā)布成果。

Rioux 在 Veilid 框架中承擔(dān)了全部 10 萬(wàn)行代碼中的大部分工作量，死牛崇拜的其他成員則主要參與測(cè)試和反饋，包括制定政策、撰寫文檔和開發(fā)首款應(yīng)用。

Rioux 在采訪中解釋道，“我們可以將 Tor 視為網(wǎng)站訪問(wèn)中的隱私系統(tǒng)，它能對(duì)源 IP 做匿名化處理?！彼^源 IP，是指分配給各計(jì)算機(jī)且一般可以追蹤的數(shù)字名稱。但 RIoux 強(qiáng)調(diào)，Tor 使用起來(lái)非常復(fù)雜，“不太適合移動(dòng)設(shè)備，而且構(gòu)建方式也不夠現(xiàn)代?！?/span>

“我們的成果有點(diǎn)像 Tor，但主要面向應(yīng)用端?，F(xiàn)在每個(gè)人口袋里的手機(jī)都是部小超算，那為什么把它們匯聚起來(lái)構(gòu)建新的云呢？”

Rioux 和 Veilid 項(xiàng)目的其他參與者表示，決定成敗的關(guān)鍵是能不能降低開發(fā)者和用戶的接受門檻，最好能像 Facebook 那么簡(jiǎn)單易用?，F(xiàn)有應(yīng)用都可以制作與 Veilid 兼容的版本，確保用戶在不受任何第三方窺探的前提下進(jìn)行通信。

Veilid 的意義是什么？

該項(xiàng)目由一家已早點(diǎn) 501c（3）非營(yíng)利資質(zhì)的基金會(huì)運(yùn)營(yíng)，三名董事分別是 Rioux、新近加入 cDc 的 Katelyn Bowden，以及活躍于上世紀(jì) 90 年代并長(zhǎng)期從事安全工作的 Paul Miller。

Bowden 指出，“現(xiàn)在要找款不出售用戶數(shù)據(jù)的應(yīng)用實(shí)在太難了。我們將賦予人們拒絕這種數(shù)據(jù)經(jīng)濟(jì)的選項(xiàng)?！瓕?quán)力歸還給用戶，賦予他們對(duì)自己數(shù)據(jù)的掌控權(quán)，同時(shí)狠狠打擊那幫靠銷售私密信息賺取大量財(cái)富的家伙。”

一些參與過(guò)代碼測(cè)試的資深工程師表示，該項(xiàng)目確實(shí)表現(xiàn)良好。

其中一位工程師 Kirk Strauser 指出，他很高興 Rioux 采用了經(jīng)過(guò)驗(yàn)證的加密協(xié)議，而不是從零開始純靠原創(chuàng)。

他將 Veilid 與點(diǎn)對(duì)點(diǎn)先驅(qū) Napster 相提并論，后者也是一款革命性產(chǎn)品，同樣主要由現(xiàn)有技術(shù)組裝而成。

Strauser 在一家數(shù)字健康公司擔(dān)任首席安全架構(gòu)師，他表示“這是一種將現(xiàn)有技術(shù)成果組合起來(lái)的新方式?！?/span>

Veilid 面對(duì)的最復(fù)雜挑戰(zhàn)之一在于內(nèi)容審核，這也是 Twitter 和 Facebook 始終沒(méi)能處理好的核心難題。

近期涌現(xiàn)的一些后起之秀，例如 Mastodon，選擇了所謂“聯(lián)邦”方案。即將用戶劃分成一個(gè)個(gè)團(tuán)體，各團(tuán)體既堅(jiān)守自己的規(guī)則、又可與其他規(guī)則不同的團(tuán)體保持松散聯(lián)系。

Facebook 母公司 Meta 表示，未來(lái)將保證新發(fā)布的 Threads 能夠與 Mastodon 等新興社交平臺(tái)相兼容。但在 Veilid 非正式顧問(wèn) Micah Schaffer 看來(lái)，這僅僅是互聯(lián)網(wǎng)大廠利用聯(lián)邦設(shè)計(jì) “來(lái)營(yíng)造你有的選的幻覺(jué)。他們其實(shí)是以一種偏離審核責(zé)任的方式在擁抱聯(lián)邦設(shè)計(jì)——不喜歡這里？那你怎么不去別的服務(wù)器？”

完全加密之后，版主將看不到那些“有毒”的互動(dòng)，這也是 Veilid 官方 Web 應(yīng)用只允許用戶邀請(qǐng)?zhí)囟P(guān)注者的原因之一。

Schaffer 曾在 YouTube 建立起首個(gè)安全團(tuán)隊(duì)，隨后又在 Snap 領(lǐng)導(dǎo)公共政策事務(wù)?！癡eilid 為新一代社交應(yīng)用打開了大門，讓應(yīng)用在設(shè)計(jì)層面就變得更加安全。”

Rioux 表示，他希望自己在 Def Con 大會(huì)首日開幕式上和 Bowden 的對(duì)話以及后續(xù)的技術(shù)研討與線下聚會(huì)，能夠吸引到更多的關(guān)注者以推動(dòng) Veilid 項(xiàng)目取得成功。

“Def Con 是以隱私為中心的用戶和開發(fā)者們的大本營(yíng)。我們選擇在這個(gè)正確的地點(diǎn)推出正確的方案，希望吸引到更多對(duì)此感興趣的朋友。”

隱私和安全機(jī)構(gòu)自然也在密切關(guān)注當(dāng)下發(fā)生的一切。

PGP 公司及安全通信廠商 Silent Circle 與 Blackphone 聯(lián)合創(chuàng)始人、發(fā)明家 Jon Callas 率先出面支持，“我非常贊賞他們不畏艱險(xiǎn)的精神，也期待能看到更多項(xiàng)目細(xì)節(jié)?！?/span>

參考鏈接：

https://veilid.com/#about

https://twitter.com/VeilidNetwork

https://www.washingtonpost.com/technology/2023/08/02/encryption-dead-cow-cult-apps-def-con/

https://www.axios.com/2019/06/06/cult-of-dead-cow-lessons-from-historys-great-hacker-groups

https://www.linkedin.com/posts/lancing-light_veilid-defcon-socialmedia-activity-7092552164782325760-LEQY/

https://www.reddit.com/r/technology/comments/15g9npx/hacking_group_cult_of_the_dead_cow_plans_system/

活動(dòng)推薦：

2023年9月3-5日，「QCon全球軟件開發(fā)大會(huì)·北京站」 將在北京?富力萬(wàn)麗酒店舉辦。此次大會(huì)以「啟航·AIGC軟件工程變革」為主題，策劃了大前端融合提效、大模型應(yīng)用落地、面向 AI 的存儲(chǔ)、AIGC 浪潮下的研發(fā)效能提升、LLMOps、異構(gòu)算力、微服務(wù)架構(gòu)治理、業(yè)務(wù)安全技術(shù)、構(gòu)建未來(lái)軟件的編程語(yǔ)言、FinOps 等近30個(gè)精彩專題。咨詢購(gòu)票可聯(lián)系票務(wù)經(jīng)理 18514549229（微信同手機(jī)號(hào)）。