會(huì)泄露隱私的瀏覽器，再次暴露了PC市場(chǎng)的無(wú)奈

眾所周知，無(wú)論是在網(wǎng)絡(luò)聊天、還是在工作中，“打錯(cuò)字”都是一件很常見(jiàn)的事情。面對(duì)錯(cuò)字，有的朋友可能對(duì)此并不在意，但也會(huì)有人難以容忍。

在這種情況下，不管是常見(jiàn)的辦公軟件、還是各主流輸入法，甚至是在每天都會(huì)接觸的絕大多數(shù)智能手機(jī)里，廠商普遍都會(huì)提供名為“拼寫檢查”這個(gè)功能。也就是當(dāng)你打錯(cuò)字時(shí)，會(huì)自動(dòng)地以顯眼的顏色進(jìn)行標(biāo)識(shí)，甚至是智能地給出正確的拼寫建議。

乍看之下，這個(gè)功能是不是還挺人性化？

然而根據(jù)日前發(fā)布的一份安全報(bào)告顯示，兩款主流的瀏覽器產(chǎn)品、微軟Edge與谷歌Chrome所配備的“增強(qiáng)型拼寫檢查”功能，卻可能存在著相當(dāng)嚴(yán)重的隱私竊取問(wèn)題。

要說(shuō)起來(lái)，這事其實(shí)并不復(fù)雜。是一家名為“otto-js”的安全公司聲稱，他們發(fā)現(xiàn)Edge和Chrome瀏覽器的“增強(qiáng)型拼寫檢查”功能一旦開(kāi)啟，就會(huì)將用戶在瀏覽器里輸入的內(nèi)容自動(dòng)上傳，而數(shù)據(jù)上傳的目的地，自然就是微軟或谷歌自己的服務(wù)器。

在這個(gè)過(guò)程中，其實(shí)有兩件事是引人擔(dān)憂的。首先是在絕大多數(shù)情況下，PC上的瀏覽器并不會(huì)區(qū)分用戶輸入的內(nèi)容是否敏感。舉例而言，當(dāng)你在網(wǎng)頁(yè)上撰寫博客、聊天時(shí)候，瀏覽器的“拼寫檢查”當(dāng)然是有用的，并且此時(shí)所寫下的文字可能也不會(huì)涉及到什么個(gè)人隱私，因此即便是被上傳，往往也不會(huì)造成什么損失。

但如果你在登錄公司的管理后臺(tái)，并（通過(guò)瀏覽器）在網(wǎng)頁(yè)上輸入賬號(hào)密碼呢？請(qǐng)注意，瀏覽器自己并不會(huì)知道你“正在輸密碼”這回事，它只能知道“你在打字”。于是，增強(qiáng)型拼寫檢查功能自動(dòng)啟用的情況下，你的賬號(hào)密碼就可能被上傳到了微軟/谷歌的服務(wù)器上，被當(dāng)做了“查錯(cuò)”的對(duì)象。

這家安全公司在報(bào)告中演示的，被“窺探”的用戶密碼輸入行為

其次，雖然大家都能想到，這些瀏覽器之所以要“窺視”用戶輸入的內(nèi)容、并將其上傳，是為了能夠在服務(wù)器上進(jìn)行語(yǔ)義分析，進(jìn)而給出智能的拼寫檢查建議。但問(wèn)題在于，無(wú)論微軟還是谷歌，都不可能確保不對(duì)這些“收集”到的內(nèi)容進(jìn)行額外分析。

事實(shí)上，考慮到這種在線的拼寫檢查功能，本就需要先用算法去“理解”用戶輸入的內(nèi)容，然后才能給出對(duì)錯(cuò)別字的建議。所以從理論上來(lái)說(shuō)，無(wú)論在瀏覽器里輸入的是無(wú)關(guān)緊要的文字、還是十分私密的密碼或重要內(nèi)容，它們都會(huì)被上傳、然后被算法“充分解析”。當(dāng)然，無(wú)論是于情還是于理來(lái)說(shuō)，這些企業(yè)都不敢、也不會(huì)濫用這些數(shù)據(jù)，但用戶的隱私遭到了窺探，卻也是不爭(zhēng)的事實(shí)。

“安全鍵盤”功能在手機(jī)上早已是標(biāo)配，但在PC上卻幾乎沒(méi)有

那么問(wèn)題就來(lái)了，一方面，我們有沒(méi)有辦法去實(shí)現(xiàn)無(wú)需聯(lián)網(wǎng)，只在本地處理的拼寫檢查呢？另一方面，能不能讓這些功能被設(shè)計(jì)為自動(dòng)檢查用戶的使用環(huán)境，比如說(shuō)只在寫博客/聊天時(shí)自動(dòng)啟用，在輸密碼的時(shí)候就自動(dòng)關(guān)閉呢？

其實(shí)是可以的，而且以上所提及的“本地拼寫檢查”和“檢測(cè)到輸密碼就自動(dòng)加密保護(hù)隱私”功能，技術(shù)上也早就已經(jīng)實(shí)現(xiàn)了。只不過(guò)它們都不是在PC上，而是普遍被配備在了智能手機(jī)中。

為什么智能手機(jī)可以做到不聯(lián)網(wǎng)、不上傳數(shù)據(jù)就實(shí)現(xiàn)拼寫檢查，為什么智能手機(jī)就可以在檢測(cè)到用戶輸密碼時(shí)自動(dòng)加密運(yùn)行環(huán)境，PC卻做不到這些呢？原因其實(shí)非常簡(jiǎn)單，因?yàn)樗懔陀布δ芏加兴笔А?/p>

智能手機(jī)SoC現(xiàn)在普遍都有獨(dú)立AI和獨(dú)立加密單元，但PC上可不是這樣

是的，智能手機(jī)上的本地拼寫檢查功能，依靠的是SoC里集成的AI加速器來(lái)運(yùn)行AI代碼，而檢測(cè)到用戶輸密碼就自動(dòng)開(kāi)啟的加密模式，則是因?yàn)镾oC里有單獨(dú)的加密運(yùn)算和存儲(chǔ)單元。換句話來(lái)說(shuō)，這兩個(gè)看似稀松平常的功能，其實(shí)都嚴(yán)重依賴于特定的硬件。而這些配置在目前的絕大多數(shù)PC上，卻是不存在的。

12代酷睿也能做到本地AI加速處理，但它們畢竟還比較“小眾”

請(qǐng)注意，我們說(shuō)的是“絕大多數(shù)”、而非“所有”。因?yàn)樵贗ntel的11代、12代酷睿，以及AMD的7000系銳龍?zhí)幚砥骼?，加入了深度學(xué)習(xí)相關(guān)的指令集，從而使得它們也能運(yùn)行一些復(fù)雜的本地AI代碼了，理論上也可以實(shí)現(xiàn)本地離線拼寫檢查。

又比如說(shuō)，在某些高端的商用處理器（比如Intel vPro系列，AMD PRO系列）里，也有集成獨(dú)立的安全計(jì)算單元，理論上能夠做到自動(dòng)識(shí)別密碼輸入場(chǎng)景、自動(dòng)進(jìn)行隔離加密運(yùn)算。

AMD 6000系PRO商用處理器就集成了微軟的獨(dú)立安全單元

但問(wèn)題在于，以上我們所講這些新款的、專業(yè)的處理器，相對(duì)于整個(gè)PC市場(chǎng)來(lái)說(shuō)，確實(shí)是太小眾的一批產(chǎn)品。這就使得盡管目前的新款PC理論上已經(jīng)可以運(yùn)行本地AI代碼，已經(jīng)能夠提供獨(dú)立安全加密運(yùn)行環(huán)境，但站在瀏覽器的角度來(lái)說(shuō)，他們著實(shí)不會(huì)有去為這“一小撮”新設(shè)備單獨(dú)適配AI功能，以及去適配自動(dòng)加密機(jī)制的動(dòng)力。

與PC相比，智能手機(jī)有著快得多的換代速度，這也使得新技術(shù)得以快速普及

當(dāng)然，這其實(shí)也再一次揭示了PC和手機(jī)市場(chǎng)的重大差異。畢竟PC整體的硬件更新?lián)Q代節(jié)奏遠(yuǎn)不如手機(jī)，這自然就會(huì)拖累新技術(shù)、新軟件的適配。然而消費(fèi)者的使用習(xí)慣卻不會(huì)因此而有所“遷就”，于是在用戶需求和落后硬件環(huán)境的矛盾中，類似聯(lián)網(wǎng)拼寫檢查這樣、明顯存在著問(wèn)題，但又不得不進(jìn)行的設(shè)計(jì)，也就變得合理了起來(lái)。

【本文圖片來(lái)自網(wǎng)絡(luò)】