你买了一个家用摄像头,插上电源,连上 Wi-Fi,手机下载 App,扫码配对。三分钟搞定。以后出门就能随时看看家里的猫在干什么。
一切都很完美。
直到有一天,你朋友发来一个链接,说「你看看这个。」你点开,看到自己的客厅。沙发上放着昨天的外套,茶几上摆着喝了一半的奶茶。右下角有一个 IP 地址和城市标签。
你没分享过这个画面。没有给别人密码。甚至不知道摄像头还能在网页上打开。
但此刻,任何一个人——任何一个打开那个网页的人——都在看着你的客厅。
这不是恐怖小说的开场。这是一个叫 IP Crawl 的项目向全世界揭开的日常。
一个程序员,42 亿个 IP 地址
2026 年 6 月,一个化名 Alec 的程序员把一个网站推上了 Hacker News 首页,当天就拿下 192 个推荐和上百条激烈讨论。网站叫 IP Crawl(ipcrawl.com),功能简单到让每个普通人都能看懂:它是一个公开摄像头的活地图。你打开网页,就能看到全球各地正在实时截图的摄像头画面——学校、医院、工厂、政府大楼、酒店、民居客厅,甚至卧室。
所有这些摄像头有一个共同点:不需要任何密码就能直接访问。你不需要破解、不需要黑客技术、不需要什么「社工库」。只需要在浏览器里输入一个地址,画面就来了。
Alec 做的事,从技术角度讲并不复杂,但从工程上看足以让安全从业者出一身冷汗。他写了一个程序,遍历了整个 IPv4 公网地址空间——大约 42 亿个 IP。程序在每一个 IP 上逐一试探几十种已知的网络摄像头截图路径。Hikvision(海康威视)的、Dahua(大华)的、Axis 的、D-Link 的、TP-Link 的、SONY 的……市面上几乎所有主流品牌的摄像头,它们默认的截图接口地址都是公开的、格式固定的、不用翻文档就能猜到的。
程序挨个敲门。敲到了,截图存下来。敲不到的,跳过。不爆破密码,不利用漏洞,不偷偷装后门——它只做一件事:把那些本来就没有锁的门,拍下来,编成目录。
用 Alec 自己的话说:「To be absolutely clear: the engine never attempts authentication, brute-forces credentials or exploits software vulnerabilities. It only catalogues what is already completely open to the public internet.」(必须明确说明:引擎从不尝试认证、暴力破解密码或利用软件漏洞。它只记录那些已经完完全全向公共互联网敞开的内容。)
听起来很克制。但当你看到这个目录里到底有什么的时候,克制这个词就显得触目惊心了。
你永远不会想到里面有什么
IP Crawl 上展示的场景范围之广,远超一般人的想象。笔者在浏览公开资料时整理了一些被记录在案的案例:
- SONY 日本总部的办公室:安保摄像头画面直连公网,没有门禁,没有访问控制;
- 以色列的公共设施站点:关键基础设施的画面,可以直接在网页上查看;
- 英国 Droitwich 的一处民居:镜头正对室内栽培设备,疑似大麻种植;
- 美国盐湖城的某个隐蔽摄像头:镜头角度诡异,不像是正规安装,更像是被人偷偷放置的;
- 学校的走廊和教室;
- 医院的走廊和病房外围;
- 托儿所的内部;
- 工厂车间和工业控制室。
这还只是 Alec 列举出来的冰山一角。他写道:「Schools, colleges, hospitals, government facilities, corporate offices, residential living rooms, daycares, indoor cultivation setups, industrial complexes and manufacturing plants. Every day you will see something new.」(学校、大学、医院、政府设施、公司办公室、民居客厅、托儿所、室内种植场所、工业园区和制造工厂。每天你都会看到新的东西。)
HN 讨论区的一位用户说得很直白:「I looked into someone’s bedroom. Fortunately it was empty, but I promptly shat myself and turned off my computer.」(我不小心看到了别人的卧室。幸好当时房间里没人,但我吓得立刻关掉了电脑。)
这不是恐怖片的桥段。这是真实发生的事,在 2026 年,在一个被认为网络安全意识已经普遍提升的年代。
为什么这么多摄像头裸奔在公网上?
普通读者看到这里,第一反应大概率是:「谁会把自己的摄像头暴露到网上?」
答案是:绝大多数暴露者根本不知道自己的摄像头暴露了。这背后有三股力量在共同制造这个局面。
第一股力量,来自厂商的不作为。
Hikvision、Dahua、Axis、D-Link、Wyze、SONY——Alec 在他的技术博客里列举了一长串品牌,然后写道:「Shipping hardware this vulnerable directly violates customer privacy and creates a massive security liability.」(把这么脆弱的硬件直接卖给消费者,本身就是对客户隐私的侵犯,同时制造了巨大的安全责任隐患。)
这些摄像头出厂时通常有默认密码,通常是 admin/admin 或 admin/12345 这类极简组合。许多型号甚至不需要密码就可以直接通过特定 URL 路径访问实时画面——这就是 IP Crawl 扫描所利用的机制。厂商对此心知肚明,但在成本和便利性的考量下,几乎没有一家主动在出厂设置上做出实质改变。
Alec 的怀疑更进一步:「Risking the label of a conspiracy theorist, it’s starting to look less like negligence and more like a legally sanctioned backdoor for mass surveillance.」(冒昧说一句可能被认为阴谋论的话:这看起来越来越不像是疏忽,更像是被合法默许的大规模监控后门。)
第二股力量,来自路由器的自动端口转发。
许多家用路由器默认开启了一项叫 UPnP(通用即插即用)的功能。它设计出来是为了方便——设备插上去就能自动配网,不用手动设置端口映射。但也意味着,只要摄像头向路由器说一句「帮我把端口打开」,路由器就会照办。用户全程不知情。
HN 上有用户一针见血地指出:「UPnP is not disabled by default on all routers, especially older ones. So devices may just try to port-forward certain control or media ports.」(UPnP 在大部分路由器上不是默认关闭的,尤其是老款。设备可以自己申请端口转发,用户浑然不觉。)
也就是说,你买了一个摄像头,插上电,连上网。摄像头自己对路由器说:「我需要对外开个门。」路由器开了。然后全世界的扫描器——不光是 IP Crawl,还有 Shodan 这类的物联网搜索引擎——就发现了你家的门。
你全程只是扫了一个二维码。
第三股力量,来自安装人员的「能用就行」。
在很多情况下,摄像头并非用户自己安装的。HN 用户 Aurornis 描述了一个非常现实的场景:安装工人爬了一整天天花板,满头大汗装完设备,只想赶紧收工。「Some installer with a git-er-done attitude knows their customer wants a solution to something (remote access) and they use the first technique they can find to accomplish that without any concern about what it means.」(安装工人只知道客户要远程访问,就用自己知道的第一个办法搞定,完全不关心这意味着什么安全隐患。)
另一个用户用一句妙语总结了整个安装行业的现状:「Most CCTV contractors are not network security experts. Most network security experts would quit before ever entering a hot attic.」(大多数安防安装工不懂网络安全。而大多数网络安全专家宁可辞职也不愿意钻进闷热的阁楼穿线。)
所以,最终的安装方案往往是:把端口打开,能看就行。至于谁来「看」——安装合同里没写这一条。
「技术便利」和「隐私安全」,从来不是单选题
这里存在一个根本性的对立:消费者想要方便——出门在外用手机就能看家里的摄像头;但「方便」的实现路径在产业实践中被做成了「把摄像头的端口直接暴露在公网上」。
这件事不是没有更好的解法。HN 上有技术背景的用户给出了安全架构的建议:厂商提供中转代理服务器,摄像头和代理之间建立加密连接,用户通过代理查看画面,摄像头的真实 IP 永远不暴露在公网上。信号(Signal)、WhatsApp 等视频通话应用已经证明了这条路是可行的。
但问题在于:这样的方案需要厂商投入额外的服务器成本、设计安全的授权机制、提供清晰的用户引导。而目前的现实是——没有厂商愿意为「用户看不见的安全」买单。
Alec 在博客中写道:「The goal is straightforward: turn public exposure into pressure, forcing both manufacturers and users to take privacy seriously.」(目标很明确:把公网暴露变成公众压力,迫使厂商和用户都认真对待隐私。)
这是一种用透明倒逼改变的策略。但同时也引发了 HN 上的激烈道德争论。
是该修补漏洞,还是该撤掉探照灯?
有相当一部分 HN 用户对 IP Crawl 项目表达不安。「naturalmovement」的评论获得很高赞同:「There’s a difference between your neighbor not closing her blinds and you using a telescope to look inside her apartment, which is what sites like this are.」(邻居没拉窗帘是一回事,你拿望远镜去看她家里是另一回事,IP Crawl 就是那个望远镜。)
另一个用户说得更直接:「Definitely an invasion of privacy. I can’t visit this website in good faith. It should be taken down.」(这绝对是对隐私的侵犯。我无法安心访问这个网站。它应该被关闭。)
但也有用户反问:Shodan 搜索引擎已经存在了十几年,同样可以搜索到这些暴露的摄像头——是不是也该把 Shodan 关掉?Google 也能搜索到没有密码的管理后台——是不是也该关掉?
更深一层的观点来自用户「portaouflip」的评论:「I’d also ask us tech savvy people to practice some humility. Yes, the people setting up these cameras are not following security best practices. But are you sure that you will not make the same mistakes?」(我们这些懂技术的人也该谦逊一些。是的,设置这些摄像头的人没遵守安全最佳实践。但你真的确定自己永远不会犯同样的错误吗?)
这是一场没有标准答案的辩论。但无论站在哪一边,一个事实无法否认:IP Crawl 暴露的黑洞是真实存在的。即使把这个网站关掉,那些摄像头依然裸奔在公网上。任何会写一行 for 循环的人都能找到它们。
对你来说,现在该做什么?
IP Crawl 官网提供了一个「检查你的区域」功能:输入你的大致位置,它会显示你附近有没有被收录的暴露摄像头。它的作用是让你确认自己家里是不是也在那个列表上。
如果你家里有网络摄像头,以下几个步骤可以立刻降低暴露风险:
第一,立刻修改默认密码。 不要用 admin/admin,不要用 12345,不要用生日或电话号码。设置一个至少有 12 位、包含字母数字和符号的密码。如果你的摄像头固件不支持强密码——这个摄像头本身就不值得信任。
第二,检查路由器的 UPnP 设置。 绝大多数家用路由器允许你关闭 UPnP。关掉它。这意味着以后连接新设备时你可能需要手动设置一下,但这点麻烦和隐私泄露的风险相比根本不值一提。
第三,如果你的摄像头需要远程查看,不要用端口转发的方式。 可以询问厂商是否提供安全的云中转服务,或者自行搭建 VPN 隧道。后者需要一定技术门槛,但如果你的数据真的重要——这是必要的代价。
第四,考虑换掉不提供安全更新的品牌。 如果一个厂商不提供固件更新、不修复已知漏洞、不支持安全连接——把它的设备扔进垃圾桶。这是对你自己和家人的尊重。
最后
Alec 的 IP Crawl 项目,本质上是一个放大镜。它放大的不是技术漏洞——这些漏洞早在十多年前就被反复讨论过了。它放大的是整个产业生态对普通人的系统性漠视:厂商知道不安全却照卖不误,安装师傅知道不专业但照装不误,平台知道有风险但照连不误。
而最终的代价,由最不该承担它的人——那个只是想看看猫的普通消费者——来买单。
Alec 在博文结尾写了一句话,笔者想把它作为这篇文章的结尾,因为它说中了一个朴素而重要的道理:
「Step. The. F*ck. Up.」
翻译成中文,大概是:该做点人事了。
参考链接:
- IP Crawl 官网:https://ipcrawl.com/
- Alec 技术博客《IP Crawl: Exposing The Massive Open Webcam Crisis》:https://alec.is/posts/ip-crawl-exposing-the-massive-open-webcam-crisis/
- Hacker News 讨论帖(192 分 / 107 评论):https://news.ycombinator.com/item?id=48700834
- 相关报道《40,000+ Internet-connected Cameras Exposed Streaming Live》:https://cybersecuritynews.com/40000-internet-connected-cameras-exposed/
- Shodan 物联网搜索引擎:https://www.shodan.io/
- 中国消费者报道《家庭摄像头泄露隐私受关注》:https://news.cnr.cn/dj/20210130/t20210130_525403683.shtml