你的 IP 正在被出售:住宅代理网络的暗面

你的 IP 正在被出售:住宅代理网络的暗面

securityproxyprivacycybersecuritybotnet

数据源:web research + HN · HN

你在客厅的电视上打开了一个鱼缸屏保。画面安静、舒缓,没有任何广告。你看不到的是,这台电视正在后台把你的家庭 IP 地址租给一个你不认识的人——他可能正在用你的网络连接尝试登录某家银行的数千个账户。

6 月 22 日,网络安全公司 Spur.us 发布了一份令业界侧目的研究报告:他们对 LG 和三星智能电视平台上的 6038 款应用进行了扫描,发现其中 2058 款内置了住宅代理(Residential Proxy)SDK。换句话说,每两款 LG 智能电视应用中,就有一款在出售你的 IP 地址。

住宅代理网络运作模式 住宅代理网络的三层结构:用户设备被 SDK 征用后汇入代理运营商的 IP 池,最终被各类客户(从合法企业到网络犯罪者)购买使用

住宅代理是什么

住宅代理是一种让客户通过真实家庭网络 IP 地址路由流量的服务。与数据中心代理或商业 VPN 不同,住宅代理的出口节点是真实的消费者设备——路由器、手机、智能电视、IoT 摄像头。对于目标网站来说,流量看上去来自一个普通的家庭用户,而非一个可疑的服务器机架。

这种「看起来像真人」的特性,恰恰是住宅代理的核心卖点,也是其最大危险所在。

住宅代理的运作依赖于一个三层结构:最底层是数以百万计的被征用设备,中间是代理运营商(如 Bright Data、Oxylabs、IPIDEA),顶层是购买代理访问权的客户。客户包括了合法的商业用户——比价网站、广告验证公司、搜索引擎爬虫——也包含了大量的恶意行为者。

设备是如何被征用的

设备加入代理网络的方式主要有三种。

第一种是「免费 VPN」模式。用户安装一个声称提供免费 VPN 服务的应用,但安装协议深处藏着一条条款:你同意将闲置带宽分享给我们的网络。2022 年 KrebsOnSecurity 对 911 S5 代理服务的深度调查显示,这个曾经最大的住宅代理网络之一通过名为「ExE Bucks」的按安装付费联盟计划获取节点——每在 Windows 电脑上成功安装代理软件,推广者就能获得佣金,安装在美国的报酬最高。

第二种是 SDK 嵌入。这是目前增长最快的方式。应用开发者将代理运营商的 SDK 集成到自己的产品中,以此换取收入。对于屏保、时钟、贪吃蛇这类「安静」的应用来说,代理 SDK 提供了一种无需打断用户体验的变现手段——用户看不到广告,但电视在后台悄悄卖带宽。

第三种是纯粹的恶意软件感染。Aisuru 僵尸网络在 2024 年被发现,到 2025 年已感染了至少 70 万台 IoT 设备。它的运营者最初将僵尸网络用于创纪录的 DDoS 攻击(2025 年 6 月对 KrebsOnSecurity 的攻击达到了 6.3 Tbps,是当时 Google 所缓解过的最大规模攻击),随后转向了更低调、更可持续的生意:将受感染的设备出租给住宅代理网络。

同意的幻觉

Spur.us 的研究特别值得关注的一点是它对「同意」的审视。

研究人员检查了几款代理 SDK 的同意界面。它们通常表现为一次性弹窗,在应用首次启动时出现。用户用遥控器点击「同意」之后,代理就可以在应用关闭后继续运行——除非用户主动找到设置中的选项并手动退出。一个鱼缸屏保的用户不可能预料到,他同意的是一个在后台持续运行的网络代理服务。

更耐人寻味的是应用发布者的身份。Spur.us 发现,Bright Data 相关的实体在数据集中发布了 367 款含有代理 SDK 的应用。Honeygain(Oxylabs 的子公司)作为发布者出现在另外 16 款应用中。这意味着,不少所谓的「应用」更像是代理库存的第一方包装——薄薄一层游戏或工具外壳,真正的产品是里面的住宅 IP。

住宅代理 IP 供应链 从 SDK 嵌入到设备被征用、IP 被聚合并最终被滥用,五个环节串联起住宅代理的灰色供应链

谁在被滥用

住宅代理被滥用的规模很难精确量化,但几个数据点勾勒出了大致轮廓。

Infoblox 在 2026 年 6 月发布的报告显示,其超过 65% 的云客户正在连接住宅代理服务。代理相关域名的 DNS 查询量从 2025 年初的每月约 3000 亿次增长到了 2026 年 4 月的每月超过 5000 亿次。研究人员在每一个行业垂直领域都观测到了住宅代理流量,医药、食品饮料、电子、工业和医疗公司的代理使用率尤其高。

Google 威胁情报小组(GTIG)在 2026 年 1 月的披露更触目惊心:仅在 2026 年 1 月的某一个七天周期内,GTIG 就观察到超过 550 个被追踪的威胁组织在使用 IPIDEA 代理网络的出口节点来掩盖其活动,包括来自中国、朝鲜、伊朗和俄罗斯的组织。这些活动涉及访问受害者 SaaS 环境、本地基础设施和密码喷洒攻击。

代理服务商通常将自己包装为合法的数据采集工具。Bright Data 的首席合规官 Rony Shalit 对 KrebsOnSecurity 表示,他们的网络「仅来自经过验证的 IP 提供商和严格的 opt-in 住宅节点」,每一个合作伙伴「都经过审查和批准」。Oxylabs 也强调其业务的合法性,并在 2025 年 Reddit 对其提起诉讼后表示「没有任何公司可以对不属于它们的公共数据主张所有权」。

但 Synthient 公司的创始人 Benjamin Brundage 追踪到了一个更为复杂的现实:大多数代理服务商已经演化成了一个高度交织的带宽转售生态系统。同一个设备可能同时被多个代理网络使用;某个代理池中的 IP 可能与其声称的来源完全无关。Brundage 发现了一个代理卖家在积极向数据采集公司推销廉价带宽,扫描后发现该卖家池中的 IP 与他之前映射到 Aisuru 僵尸网络的 IP 一一对应。

从 DDoS 到 AI 数据采集

住宅代理行业近期最显著的转变,是 AI 公司的大规模数据采集需求成了一个巨大的推动力。

Spur.us 联合创始人 Riley Kilmer 在 2025 年 10 月表示,他们在过去 90 天内观察到了 2.5 亿个唯一的住宅代理 IP——「这个数字高得离谱,闻所未闻」。Spur.us 追踪的前十大代理网络共拥有超过 5300 万个活跃 IP,其中 Bright Data(前身 Luminati)以 1185 万居首,Netnut(1098 万)和 ABCProxy(929 万)紧随其后。

Kilmer 指出,AI 行业给住宅代理业务带来了一层「合法性外衣」。「网页爬取和数据采集一直存在,但 AI 把它变成了商品——必须被采集的数据。」当内容提供者通过登录墙或多因素认证限制访问时,采集者就转向住宅代理,让自己看起来像一个真实的付费用户。

这种行为的受害者范围很广。LibreNews 今年早些时候的报告发现,一些开源项目高达 97% 的流量来自 AI 公司的爬虫,大幅增加了带宽成本和服务不稳定性。Cloudflare 正在试验「按爬取付费」功能,让内容创作者可以向 AI 爬虫收取费用。Reddit 于 2025 年 10 月起诉了 Oxylabs 等代理服务商,指控其通过伪装身份和位置大规模抓取 Reddit 用户内容。

执法行动正在加速

监管和执法机构对住宅代理网络的关注在 2025-2026 年间显著升温。

2024 年 5 月,美国司法部逮捕了 911 S5 代理服务的运营者 Yunhe Wang,指控其网络被用于从金融机构、信用卡发行商和联邦贷款项目中窃取数十亿美元。同月,美国财政部对 Wang 及另外两名中国籍人士实施了制裁。

2026 年 1 月,Google 联合合作伙伴对 IPIDEA 代理网络采取了打击行动,包括通过法律手段接管其控制域名、向平台提供商和执法机构共享技术情报、以及确保 Google Play Protect 自动移除含有 IPIDEA SDK 的应用。GTIG 估计这些行动使代理运营商的可用设备池减少了数百万台。

2026 年 3 月,FBI 发布了关于住宅代理风险的公共安全公告,警告公众其设备可能在不知情的情况下被征用为犯罪工具,并提供了自查和防护建议。

在平台层面,Amazon 明确禁止在其应用商店中分发提供第三方代理服务的应用。Roku 据报也已将使用 Bright SDK 的应用从其平台上移除。但 LG 和三星尚未划定同等级别的公开红线——这正是 Spur.us 发现大量代理 SDK 应用的平台。

局域网内的跳板

住宅代理的风险不止于 IP 地址被借用。Spur.us 的研究和此前 KrebsOnSecurity 对 Kimwolf 僵尸网络的报道都指向一个更隐蔽的威胁:一旦一个设备被用作代理节点,攻击者可能借助它触及同一局域网内的其他设备——路由器管理面板、NAS 存储、打印机、摄像头、开发机,以及监听本地端口的其他应用。

2022 年,加拿大 Sherbrooke 大学的研究人员分析了 911 S5 代理网络后指出,被感染节点使代理用户能够访问该节点所在网络的共享资源,包括本地内网门户和其他内部服务。「使用内部路由器,甚至可以毒化被感染节点的局域网路由器 DNS 缓存,实现进一步攻击。」这一描述在 2026 年 Kimwolf 僵尸网络的活动中得到了印证——攻击者确实利用代理访问穿透到了代理节点背后的局域网。

智能电视在这个场景中是一个近乎理想的代理宿主机。它与家中所有设备共享同一个网络,但人们很少像审计电脑一样审计电视。没有电池消耗可被察觉,没有流量账单会飙升,没有应用切换器显示可疑的后台活动。一台电视可以插着电、登录着账号、在线数年,而使用者始终认为它只是一件家具。

本文的素材来自公开信息和社区讨论。如果你对这个话题有更深入的一手经验,欢迎指出文中的不足。

参考链接: