你的智能电视正在被人偷偷拿去当”爬虫代理”——Bright Data SDK暗网揭秘

2026-06-07 | 点滴安全

当你窝在沙发上看电视的时候，你的智能电视可能正在帮你”做兼职”——只不过你不知道，工资也没进你的口袋。

安全研究机构Include Security和独立研究员Buchodi在6月5日发布了一项深度调查，揭示了数据公司Bright Data如何通过免费应用中嵌入的SDK，将用户的设备——包括始终开机的智能电视——变成网页爬虫的出口节点。这些设备使用用户的家庭IP和带宽，为AI公司的数据采集业务提供代理服务。

这不是一个理论上的风险。Bright Data自称运营着全球最大的住宅代理网络，拥有超过4亿个住宅IP地址，其中超过1.5亿个来自所谓的”用户授权”SDK。而AI行业对训练数据的爆炸性需求，正在让这个灰色产业链变得越来越大。

Bright Data——从Hola VPN到AI爬虫帝国

要理解这个故事，需要先了解Bright Data的前世今生。

Bright Data的前身是Luminati，而Luminati又脱胎于Hola VPN。2015年，Hola VPN被曝光将其免费用户的带宽以每GB 20美元的价格出售给Luminati的付费代理客户。当时这一事件引发了巨大的隐私争议，但商业模式并没有消失，只是换了个名字继续运营。

如今的Bright Data已经成长为一家估值数十亿美元的企业，其客户遍布AI、电商、广告等行业。它对外宣传的核心卖点是”合法合规的住宅代理”，声称所有参与节点都经过用户授权同意。但这次调查揭示的真相远比”用户授权”这四个字复杂得多。

研究者逆向分析了Bright Data嵌入在iOS应用中的SDK，发现其工作原理远超出了普通用户的认知范围。当用户安装了一个包含该SDK的免费应用后，SDK会在后台与Bright Data的服务器建立连接，接收爬虫任务，然后使用用户的家庭网络去访问目标网站。从目标网站的角度来看，这些请求来自一个普通的家庭IP地址，完全绕过了Cloudflare、DataDome等反爬虫服务的检测。

智能电视——理想的”免费劳动力”

为什么智能电视成为这个灰色产业链的理想目标？答案很简单：它满足了所有条件。

智能电视通常全天候插电联网，拥有稳定的宽带连接，没有流量限制（不同于手机套餐），而且用户几乎不会去监控电视的网络流量。对于一个需要大量代理节点的爬虫网络来说，智能电视简直是完美的”免费劳动力”。

研究者发现，Bright Data的SDK支持三星的Tizen和LG的webOS等主流智能电视平台。虽然Google、Amazon和Roku在媒体报道后已经限制了后台代理SDK的运行，Bright Data也从这些平台撤出，但在Tizen和webOS上的活动仍在继续。

更令人不安的是SDK的技术细节。在iOS上，这个SDK的网络流量能够绕过用户配置的VPN，而且大部分行为在安全团队常用的监控工具中根本看不到。这意味着即使用户以为自己通过VPN保护了隐私，Bright Data的SDK流量依然可以畅通无阻。

“偶尔使用”的授权与每月200GB的流量

这整个商业模式建立在”用户授权”的合法性之上。Bright Data声称所有参与节点都经过用户同意，但研究者对这种”同意”的质量提出了严重质疑。

以一款名为Petflix的Roku应用为例，其授权屏幕称将”偶尔”使用用户的设备和网络连接。然而，SDK加载的配置文件显示，实际允许的流量上限高达每月200GB。在某些国家，比如乌兹别克斯坦和阿曼，流量限制被设定得更高，设备被允许几乎不间断地运行，直到电池即将耗尽。

“偶尔使用”和”每月200GB”之间的差距，显然已经超出了合理授权的范畴。更关键的是，SDK还能将同一个人的手机和运行同一家公司应用的电脑关联起来，将它们视为一个统一的用户节点。

这种授权模式的问题在于：用户在安装免费应用时，面对一个看起来无害的授权弹窗，几乎没有人会仔细阅读条款。而授权弹窗中的模糊描述与SDK的实际行为之间存在巨大的信息不对称。这到底算不算”知情同意”，是一个值得严肃讨论的法律和伦理问题。

如何检测和阻断

如果你担心自己的设备正在被用作爬虫代理，有几种方法可以检测和阻断。

对于家庭用户：最简单的方法是在路由器层面使用Pi-hole或NextDNS等工具，屏蔽Bright Data SDK使用的连接域名。研究者公开的主要域名包括：proxyjs.brdtnet.com、proxyjs.luminatinet.com、proxyjs.bright-sdk.com、clientsdk.bright-sdk.com和clientsdk.brdtnet.com。屏蔽这些域名可以阻止设备充当代理中继，同时不会影响Bright Data的付费服务（后者运行在不同的地址上）。

对于企业IT团队：可以在员工手机上扫描包含该SDK的应用。需要注意的是，在移动网络连接下，SDK流量会绕过办公Wi-Fi，因此仅靠网络层面的屏蔽是不够的。建议使用移动设备管理（MDM）方案进行更全面的检测和管控。

一个重要的提醒是：Bright Data可能会在未来更改SDK的连接方式，因此屏蔽列表需要定期更新。这不是一次性的解决方案，而是一个持续的安全卫生实践。

AI数据饥渴下的隐私新战场

Bright Data的案例揭示了AI时代一个被忽视的隐私战场。当AI公司需要海量训练数据时，住宅代理网络成为绕过反爬虫机制的关键工具。而获取这些代理节点的成本，被转嫁给了毫不知情的普通用户。

这不是单纯的黑客行为——它披着”用户授权”的外衣，运作在法律灰色地带。但随着调查的深入和监管的加强，这种模式正面临越来越大的审视。2025年10月，KrebsOnSecurity就曾报道过类似僵尸网络Aisuru从DDoS攻击转向住宅代理业务的趋势，2026年1月Google也拆除了IPIDEA犯罪代理网络。

对于每一个拥有智能设备的人来说，现在需要问自己一个问题：你的客厅里，还有多少”免费劳动力”在你不知情的情况下为别人打工？

参考来源：The Hacker News、Include Security、Buchodi、KrebsOnSecurity、Lowpass 本文由点滴安全（www.dripsafe.cn）原创发布