智能设备安全：我们正把钥匙交给幽灵

凌晨三点，老陈被一声轻响惊醒。不是闹钟，也不是窗外的雨声——是客厅里那台新买的语音音箱，在没人说话时突然念出一句：“天气转凉，请注意添衣。”他坐起身，汗毛竖起。这声音太熟了，像妻子去年住院前常挂在嘴边的话。可她已去世八个月，而这款“贴心”设备从未录入过她的语料库。

这不是幻听，而是漏洞在呼吸。

一、便利即入口
人们总以为黑客躲在遥远机房，用绿色代码瀑布攻破银行金库；殊不知最危险的入侵早已发生在茶几旁、床头柜上、婴儿监视器闪烁的小红点里。一台扫地机器人能绘制全屋三维地图，一只儿童手表实时上传定位与通话记录，甚至冰箱会记住你每周三买酸奶的习惯……它们不叫间谍，却比旧时代的特工更勤勉。厂商说这是“个性化服务”，实则是在每件电器内部埋下了一枚微型哨所——它不站岗，只汇报。

二、“默认信任”的陷阱
所有智能设备出厂都带着一把万能钥匙：自动联网、开放端口、预装不可卸载的应用程序。用户第一次开机点击“同意”，就像签下一张空白支票，签名处写着“我允许您读取我的动作、睡眠节奏、心率波动乃至马桶使用频率”。没有人在意条款第十七条第三款提到，“数据可能用于第三方行为建模及跨平台画像合成”。

某次社区维修师傅上门修空调，顺手连上了业主家Wi-Fi。三天后，邻居发现自家摄像头拍下的画面出现在境外论坛一个名为《中国家庭生活切片》的相册中——拍摄者并非黑产团伙，只是一个喜欢收集“真实感素材”的数字人类学研究生。技术没作恶，但它的沉默就是共谋。

三、失效的安全围栏
防火墙？加密协议？固件更新提醒弹窗堆成山，却被手指习惯性划走。“稍后再试”成了当代人的祷词。厂家三年停更一款门锁系统，结果第四年有人靠一段公开Python脚本重置全部管理员权限；另一品牌声称采用军规级AES-256加密，后来被人拆开电路板，直接从内存芯片拷贝明文密钥——原来所谓坚盾，不过是给铁皮罐子喷了一层银漆。

更有甚者，某些国产IoT设备内置隐藏远程管理模块（RMM），既无文档说明，也无法禁用。一位白帽工程师告诉我：“你不让它连接外网都不行。只要插电启动，它就会自己拨号回传心跳包。”

四、人还在原地，世界已经迁移
真正的危机不在算法多狡猾，而在我们的身体还活在现场，意识却早迁居云端。母亲教孩子喊“天猫精灵放儿歌”，父亲对着电视大吼指令调高音量，老人戴着健康环睡去又醒来，手腕上的LED微光如萤火般持续亮着——他们不知道这些低功耗信号正在编织一张细密之网，将日常作息编译为商业变量或政治标签。

当隐私不再是需要守护的东西，而变成一种必须主动注销的服务项目，我们就真的变成了住在玻璃蜂巢里的昆虫。

最后想说的是：别怪机器变聪明，该问的是谁教会它如何凝视。下次打开手机查看家里监控镜头之前，请先摸一下自己的眼皮是否湿润——那是你还未完全交出去的最后一道防苏杜瓦全场正确比分线。