微软承认:你电脑里有个关不掉的追踪号

微软承认:你电脑里有个关不掉的追踪号

Windows隐私GDID安全追踪

数据源:Lobsters + web research · HN

2026年7月,美国司法部公开了一份39页的刑事起诉书。被告是19岁的彼得·斯托克斯(Peter Stokes),涉嫌在2025年5月入侵一家美国奢侈品珠宝商,勒索800万美元。斯托克斯用了VPN、代理服务器、翻墙工具,IP地址横跨爱沙尼亚、纽约、泰国等四个国家。按照常理,互联网上追踪一个人,IP地址一换,线索就断了。

但FBI还是找到了他。决定性证据是他电脑里一串由微软自动生成的数字——g:6755467234350028

这串数字叫 GDID,全称 Global Device Identifier,翻译过来就是「全球设备标识符」。在FBI这份起诉书公布之前,绝大多数Windows用户从来没听说过这个名字。微软自己对外公开提到它的地方,也只有一句话,藏在 Azure Monitor 的企业技术文档里。

Windows GDID 全球设备标识符概念图 图:GDID 是 Windows 系统内置的永久设备标识符。来源:Ghacks

它是什么:你电脑的「身份证号」

用最简单的话说:GDID 是微软给你的电脑自动分配的一个永久编号。 当你安装 Windows 系统,或者用微软账号登录电脑的那一刻,这个编号就生成了。

它不是电脑硬件的编码——硬件可以换。它也不是IP地址——IP可以改。它是微软服务器给你这台电脑「签发」的一个身份号,一旦产生,就永远绑定在这台电脑的 Windows 系统上,跨越系统更新、跨越网络环境,一直存在。

这个编号长什么样?它通常是一串以「g:」开头的数字,比如 g:6755467234350028,存在 Windows 系统深处的注册表里,普通用户根本看不到。它在后台默默运行,随着 Windows 更新、应用商店使用、系统数据上报等正常操作,定期被传回微软的服务器。

如果你觉得「传回微软的服务器」这几个字让你不舒服——很正常,不止你一个人这么想。

它是怎么工作的:一套你看不见的流水线

GDID 的生成和上报过程,相当于一条全自动流水线,用户没有任何干预的余地。

第一步,当你用微软账号登录 Windows 时,系统里的一个后台服务(叫 wlidsvc)会自动联系微软的登录服务器 login.live.com,向服务器申请一个设备专属的身份号。这个号由微软服务器直接「签发」下来、塞给你电脑的。

第二步,这个编号被写进 Windows 的注册表里——一个叫 HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties 的位置。它就像藏在系统深处的档案柜里,表面上什么都看不到。

第三步,Windows 里多个后台服务会读取这个编号。比如「手机连接」「云剪贴板」「就近共享」这些你日常使用的功能,全都在调用它。这些服务把编号注册到微软的「设备目录服务」里,形成一个完整的设备身份图谱。

第四步,最关键的一步:Windows 的「传递优化」功能——就是那个帮你从局域网其他电脑快速下载更新的功能——每次运行时,都会把 GDID 编号连同你的 IP 地址和时间戳一起上报给微软服务器。

换句话说,微软不仅知道你有这个编号,还知道这个编号在什么时间、用了什么 IP 地址。把这些信息串起来,就是一份完整的设备活动时间线。

FBI 是怎么用它抓到人的

斯托克斯自以为很聪明。他用 VPN 隐藏真实 IP,用代理服务器中转流量,甚至在多个国家之间切换网络身份。但他忘了一件事:不管 IP 怎么变,他电脑里的 Windows 系统没换过。

根据起诉书的描述,FBI 的调查路径大致是这样的:

首先,受害珠宝商的网站记录了攻击者的 IP 地址——这个 IP 属于一家叫 Tzulo 的 VPN 服务商。同时,调查人员发现攻击者在 ngrok(一个网络隧道工具)上注册了一个账号,用于攻击操作。注册时间、注册时的 IP 地址,对得上。

接下来,FBI 向微软调取了数据:在这个时间点、使用这个 IP 地址的设备,GDID 编号是多少? 答案出来了:g:6755467234350028。

然后,FBI 反向查询:这个 GDID 编号还用过哪些 IP 地址? 微软的记录显示,同一个 GDID 在长达八个月的时间里,出现在爱沙尼亚、纽约、泰国等多个地点,每次都通过不同的 VPN 节点连接。

最后一步,FBI 把这些 IP 地址与斯托克斯在 Snapchat、Facebook、苹果账户、育碧游戏平台上的登录记录做了交叉比对——时间对得上、地点对得上。他在 Snapchat 上发的公开照片,和 GDID 记录的旅行时间线完全吻合。

2026年4月,斯托克斯在赫尔辛基机场准备飞往日本时被芬兰警方拦截。国际刑警组织的红色通缉令,让他没能登上那班飞机。

FBI 如何通过 GDID 追踪嫌疑人 图:FBI 利用 GDID 跨越 VPN 和多个国家追踪到嫌疑人。来源:WindowsLatest

为什么这件事让人不安

GDID 的存在之所以引发争议,核心在于一个事实:你关不掉它。

苹果手机的广告标识符,用户可以重置。安卓系统也提供了类似的控制选项。苹果甚至要求 App 在追踪用户之前弹窗征得同意——就是那个「允许App请求跟踪」的提示。

但 GDID 没有这些。没有弹窗问你是否同意。没有开关让你关闭。没有按钮让你重置。安全研究员马修·希基(Matthew Hickey)在评价这个案例时直接说,Windows 就是「监控软件」。

更令人不适的是透明度问题。微软对这个编号的公开描述,在整份 Azure Monitor 文档里只有一句话:「Microsoft 全球设备标识符。这是 Microsoft 内部使用的标识符。」一句话,十几个英文单词。至于它怎么生成、怎么传输、存多久、谁会访问——全都没有说明。

独立安全研究者不得不通过逆向工程来弄清楚 GDID 的工作原理。他们发现:如果强行阻断 GDID 的生成,Windows 的系统激活会出问题,应用商店里的程序也无法正常使用。GDID 和 Windows 的核心功能深度绑定,无法单独拔掉。

还有一个值得注意的细节:微软在起诉书的脚注里承认,一个微软账户下可以关联多个 GDID。也就是说,即使你重装系统获得了一个新编号,微软依然可以通过你的账户、OneDrive 云盘、激活记录等信息,把新旧编号串到一起。

各方立场:没有单一答案

这件事没有简单的好坏之分。各方站在不同角度,看到的图景完全不同。

从执法机构的角度看,GDID 是一个有力的取证工具。斯托克斯的案子中,如果没有 GDID 这个跨越 VPN 的追踪锚点,调查可能止步于一堆无法关联的 VPN IP 地址。GDID 让执法机构能够穿透网络匿名层,把犯罪行为和具体设备联系起来。对于那些利用技术手段隐藏身份的犯罪分子,这是一种有效的制衡。

从隐私保护的角度看,一个无法关闭、无需用户同意的永久设备标识符,放在任何标准下都是设计上的危险信号。它的问题在于「理论上可以被用于任何目的」。今天是FBI的刑事调查,明天可能是什么?广告网络?保险公司?政治监控?一个系统在设计阶段就预留了这种追踪能力,它的使用者不会永远是「好人」。

从微软的角度看,GDID 的原始设计目标并不是追踪用户——它主要用于管理软件授权、维护应用商店的正常运转、支撑跨设备的协同功能。但问题在于,这种「基础设施」级别的标识符一旦存在,就被嵌入了太多的系统组件,想要移除它,等于要重写 Windows 的核心架构。

Lobsters 技术社区的讨论中,有一条评论被反复顶上来:「这事如果不让更多人意识到,下次就不是抓黑客了。」也有人说:「真正的解决方案是换操作系统。」但换一个操作系统,对16亿 Windows 用户来说不是一个轻轻松松就能做出的决定。

Windows 11 隐私和安全设置 图:Windows 11 的隐私设置里,找不到 GDID 的任何控制选项。来源:WindowsLatest

你能做什么

坦率地说,对于已经深度绑定微软生态的普通用户,可选的应对空间相当有限。笔者这里整理的是在目前条件下能够减少相关风险的一些操作:

第一,尽量使用本地账户而不是微软账户。 Windows 11 在最近几个版本里收窄了创建本地账户的入口,但在安装过程中跳过联网步骤,或者在设置界面找到「改为本地账户登录」,仍然是可行的路径。GDID 的生成与微软账户深度绑定,使用本地账户是一种间接的隔离手段。

第二,关闭非必要的诊断数据上报。 路径是:设置 → 隐私和安全性 → 诊断和反馈 → 将「可选诊断数据」关闭。这不会让 GDID 消失,但可以减少伴随 GDID 一起被上报的其他信息。

第三,关闭个性化广告和启动跟踪。 在「隐私和安全性」→「推荐和优惠」中,把所有选项关掉。在「搜索权限」中关闭「云内容搜索」,避免本地搜索内容被发送到微软服务器。

第四,定期审查活动历史记录。 在隐私设置中检查「活动历史记录」,关闭不需要的同步选项。这些不会触及 GDID 本身,但能减少你的行为数据在微软生态内被串联的机会。

第五条可能有点极端,但值得提一下: 如果你对隐私有较高要求,并且在技术上能够接受一定的学习成本,过渡到不内置此类追踪机制的操作系统(比如某些 Linux 发行版)是一个可以考虑的长期方向。这不是放之四海而皆准的建议——它不适合所有人,也不适合所有场景。但它确实是一个存在的选项。

一个更大的问题

GDID 事件之所以不只是「又一个科技新闻」,是因为它触及了一个越来越尖锐的矛盾:当你的操作系统同时是你的服务提供商时,它的忠诚应该属于谁?

Windows 早已不只是你硬盘上的一个系统。它连着微软的云端、微软的账户体系、微软的应用商店、微软的 AI 助手。它的商业模式正从「卖软件」转向「卖服务」——而服务的世界里,用户数据是基础货币。

GDID 的存在提醒了一件事:在云计算和人工智能时代,你电脑里最深层的那个「系统」,可能已经不再是单纯的工具。它同时也是一个传感器、一个记录仪、一个身份锚点。

而它默认站在谁那一边——这个问题,微软至今还没有给过一个让所有人安心的回答。

参考链接:

  • Ghacks: Microsoft Confirms Windows GDID Device Identifier That Cannot Be Disabled, Documented in FBI Case Filing
  • PCMag: A Hacker’s Arrest Reveals Microsoft Can Track Users Via a Windows Device ID
  • WindowsLatest: Microsoft admits Windows 11 has a GDID tracker with no off switch
  • Cybernews: Windows telemetry backlash — GDID tracking exposes Scattered Spider hacker
  • Lobsters 讨论 (s/agkcmz)