Vitalik Buterin 警告称，X 的位置功能存在“容易伪造”的安全风险

以太坊联合创始人Vitalik Buterin近日对 X 的位置标记功能发布了全面警告，指出该功能存在严重安全漏洞和隐私隐患，可能影响数百万用户。他批评该系统本质上存在不对称性：高级恶意分子可以轻易绕过位置验证，而普通用户反而面临更高的暴露与风险。

这一颇具争议的功能会显示用户账号关联的国家或地区，并于 2024 年底通过平台“关于此账号”板块全球上线。用户可通过点击任何个人资料页上的注册日期访问相关信息。虽然 X 宣称该举措旨在提升透明度、打击虚假信息与机器人行为，但该功能的实施在科技和加密货币社区引发了激烈讨论。

Buterin 主要关注该功能容易被有经验的攻击者操控。他预测，未来外国政治势力和水军网络将成功伪造其位置，假装自己在美国、英国等西方国家运营。他分析指出，系统存在关键设计缺陷：为一百万个账号伪造位置凭证虽有难度，但用一个虚假位置账号自然增长至一百万粉丝则较为容易。

地下市场上用于绕过位置验证的方法非常成熟且易得。恶意分子可租用护照、采购目标国家手机号，或使用看似来自特定地区的 IP 地址。这些服务在网络某些角落公开出售，拥有基本资源和技术能力的人即可轻松伪造位置。结果就是，恶意分子可轻松化解该功能带来的安全收益，而守法用户却要承受隐私损失。

隐私问题盖过安全收益

位置标记功能在加密货币社区引发了强烈反弹。由于该行业曾多次发生定向攻击，隐私和安全问题尤为突出。许多知名人士公开反对强制披露位置信息。

去中心化交易协议Uniswap创始人 Hayden Adams 将该功能形容为“极端”，并质疑为何位置披露必须强制而非自愿。他明确区分了自愿与强制的信息共享，认为“自愿曝光可以接受，强制曝光则过于极端”。这一观点反映出加密社区对数字隐私权被侵蚀以及用户数据被滥用的深层担忧。

考虑到加密行业多次出现因持有数字资产导致的线下攻击、绑架及暴力事件，该功能对加密用户尤为不利。高净值持币者因身份泄露而成为攻击目标的事件频发，令社区对任何削弱匿名性的功能异常敏感。强制披露位置信息为锁定重要加密资产持有者又添一项数据来源。

在广泛社区反馈和批评后，Buterin 进一步阐释并补充了他的担忧。他指出，未经用户明确同意或未提供退出机制就披露位置，已严重违反用户隐私预期。他强调，“某些用户即便只泄露极少信息也会面临风险，不应被迫牺牲隐私且无法挽回。”此评论凸显了威权国家用户、活动人士、举报人等仰赖匿名性的群体的特殊脆弱。

面对日益高涨的批评，X 产品总监 Nikita Bier 宣布为部分国家、因言论存在法律或人身风险的用户引入了专属隐私开关。但批评者认为，这种有限的方案难以解决对全体用户隐私的广泛侵害。选择性保护导致用户需自行摸索隐私设置，平台默认仍为信息披露。

这一争议与平台所有者 Elon Musk 曾作出的隐私承诺形成鲜明对比。2022 年初，Musk 曾表示 X 将“不惜一切代价保护用户匿名权”，以防用户因身份暴露而遭雇主迫害或人身威胁。该承诺还伴随了禁止披露匿名账号真实身份的隐私政策更新。强制位置功能被认为背离了此前承诺，导致外界指责平台言行不一、失信于用户。

业界专家热议长期影响

围绕 X 位置功能引发的争论，凸显了科技行业在平台安全与用户隐私之间如何权衡的深层分歧。不同利益方提出了各种理解和评估该功能影响的框架。

IE 商学院金融学教授 Maxim Mironov 认为，该功能类似于 CAPTCHA 或邮箱验证等现有垃圾信息防控机制。他认为，提高伪造国家信息的门槛与成本可抑制机器人和自动化滥用，即使不能完全防御，提升作恶门槛也能明显降低平台上的大规模虚假行为。

Buterin 则反驳称，现有系统设计存在关键缺陷，削弱了大规模验证的实际效用。当前系统要求用户手动检查每个账号的位置信息，无法实现自动化、全平台级的验证。因此，该功能只适用于调查特定重点账号，对普通用户浏览信息流时几乎无益，反而增加自身位置暴露的风险。

加密分析师及风险投资人 Nic Carter 则持支持态度。他认为，政策是对西方通信基础设施无限开放导致外国滥用的必要回应。“我们为什么还要让诈骗者直接接触我们的手机、邮箱和私信？”Carter 写道，并将此政策与中国长期限制国外参与本土社交平台的做法相提并论。

Carter 认为，如果完全开放，社会成本“极其高昂”，老年用户等群体难以在充斥跨境诈骗与 SIM 卡农场垃圾信息的环境下自我防护。他认为，适度的地理验证和访问限制有助于维护平台秩序，保护易受侵害者免于全球化诈骗集团侵害。

许多用户和技术专业人士还指出了实际规避方法和实施带来的意外后果。Web3 律师 Langerius 向粉丝演示如何通过账号设置关闭国家可见性，或将国家级显示切换为泛化的地区级选项。尽管这些方法可行，但要求用户具备隐私意识并主动设置，对技术不熟练者构成负担。

开发者 Mayowa 担忧该功能会助长对特定地区用户的歧视。他指出，“无辜用户仅因所在地就可能受到滥用或被牺牲”，位置信息可能成为评判用户可信度、动机或信誉的标签。在国际讨论中，地缘政治紧张氛围下，用户可能因国家归属就遭排斥甚至攻击。

科技投资人 Jason Calacanis 以讽刺口吻称“做多 VPN 概念股”，暗示未来用户会更多依赖虚拟专用网络隐藏真实位置。这一判断也揭示：技术能力强和资源丰富的用户可规避系统，而技术薄弱用户则承担全部隐私成本。

该功能体现了 X 所谓“全球广场”的安全努力，产品总监 Bier 承诺未来还将推出更多真实性验证手段。但此次上线过程和激烈争议表明，如何在平台安全、用户隐私和言论自由之间取得平衡，仍然是现代社交媒体企业面临的核心难题。随着争论持续，这一政策对用户行为、平台信任和数字权利格局的长期影响仍不确定。

常见问题

Vitalik Buterin 为什么认为 X 的位置功能存在安全风险？

Vitalik Buterin 警告称，X 的位置功能极易被伪造，无法作为安全验证依据。伪造的位置信息可被用于绕过认证、钓鱼攻击，以及在Web3应用中实施身份验证欺诈。

位置功能为何易于伪造？对用户隐私和安全有何影响？

用户可通过 VPN、GPS 伪造工具或篡改元数据等手段更改位置信息。这不仅泄露真实行踪，危及隐私，还可能引发社会工程攻击、定向骚扰，并增加与位置验证相关的金融账户安全风险。

如何防范 X 平台上的位置信息安全威胁？

应关闭 X 设置中的位置服务，避免分享实时位置信息，使用 VPN 保护隐私，启用双因素认证，定期检查隐私权限，并警惕第三方应用访问位置信息。

Vitalik Buterin 的警告对加密货币用户有何特殊意义？

Vitalik 的警告凸显了可被伪造的基于位置功能的安全隐患。加密用户应谨慎对待各类平台的位置信息验证机制，因虚假位置信息可能危及钱包安全，提升 Web3 交易中的欺诈风险。

其他社交媒体平台的位置信息功能也存在类似安全风险吗？

是的，大部分具备位置功能的社交平台都存在类似漏洞。Meta、TikTok 等网络的地理定位数据同样可被伪造或篡改，用户可能因此面临身份盗用、跟踪或定向攻击。其根本性难题——如何验证真实位置——仍是整个行业面临的系统性挑战。