2018年,一名大学生用Strava热力图找到了美军在叙利亚的隐秘基地。7年后,同样的剧本在英国重演——超过500名军人的行踪被一款健身App扒了个精光。
「Security Breach」标签下的公开秘密
英国《i Paper》的调查像一把手术刀,剖开了Strava上那些看似无害的跑步轨迹。Northwood、Faslane、North Yorkshire——这些军事基地的名字被士兵们亲手标注在公开动态里,连坐标都懒得打码。
最讽刺的是一条被标记为「Security Breach」的跑步路线。发布者显然知道自己在干什么,就像有人在保险箱上贴张纸条写着「里面有珠宝」,然后敞开大门。
Faslane基地的遭遇更具杀伤力。这里是英国三叉戟核潜艇的老巢,战略意义堪比白金汉宫的地窖。调查记者通过Strava的活动日志,不仅锁定了潜艇兵的身份,还顺藤摸瓜找到了他们的家属。有人甚至把军舰进港的照片同步上传——免费的情报,高清无水印。
英国国防部发言人对此的回应堪称经典:「我们已发布明确指引。」至于指引有没有被阅读、阅读后有没有被执行,那是另一个故事。
法国军舰事件的72小时后
这并非孤例。就在《i Paper》曝光前72小时,一名法国海军军官的Strava动态让一艘战舰的位置暴露无遗。甲板上的晨跑,GPS精度足以让导弹制导系统眼红。
两起事件的时间密度,暴露出问题的系统性。Strava的默认设置是「公开」,而军人的职业本能是「服从命令」——当这两个逻辑碰撞,隐私设置就成了没人管的荒草。
《i Paper》指出,基地位置本身不是秘密。但跑步轨迹能拼凑出人员配置、轮岗规律、甚至潜艇的出港窗口期。这些数据碎片在情报分析师手里,就是一张活的军事部署图。
2018年的教训足够惨痛。当时Strava的全球热力图直接点亮了阿富汗、叙利亚等地的「隐秘」军事设施,迫使五角大楼重新审查士兵的智能设备使用规范。7年过去,技术迭代了三轮,人的记性似乎没有。
产品设计的「默认陷阱」
Strava的产品经理或许从未想过,「分享运动成就」这个功能会被用来分享核潜艇坐标。但这就是平台经济的副产品:设计者为硅谷的马拉松爱好者优化体验,副作用却由全球军事体系承担。
默认公开的逻辑在运动社交领域成立——没人想跑完步还要手动勾选「允许朋友点赞」。但当用户群体扩展到持枪上岗的群体,这个设计就变成了特洛伊木马。
英国国防部的「明确指引」解决不了产品层面的结构性问题。士兵也是普通人,会偷懒、会忘事、会在凌晨六点半迷迷糊糊点击「开始跑步」。指望500人同时保持警惕,不如指望Strava给军事区域加个地理围栏。
后者技术上毫无难度。2018年风波后,Strava确实推出了「隐私区域」功能,允许用户隐藏住所或工作地附近的轨迹。但功能存在不等于被使用,使用不等于被正确使用。
法国军舰事件中的军官、Faslane基地的潜艇兵,显然都没启用这项保护。是不知道?不想用?还是觉得「反正没人看我」?
情报战的平民化转向
开源情报(OSINT)的门槛从未如此之低。过去需要卫星、特工、贿赂才能获取的信息,现在一个订阅了Strava Premium的大学生就能整理成Excel。
这种平民化对民主监督是福音,对军事保密则是噩梦。更棘手的是责任归属:士兵个人当然有过失,但平台是否该承担部分责任?雇主(军方)的监管义务边界在哪?
2018年事件后,美国军方选择收紧内部政策,而非起诉Strava。英国似乎要走同样的路。但政策是纸面的,Strava的API是实时的——每延迟一天,就有新的轨迹被上传、被索引、被存档。
《i Paper》的调查中,部分军人账号在报道发布前仍保持公开状态。记者能看到的,任何注册账号都能看到。区别只在于,记者把发现写成了新闻,而其他人可能写进了情报简报。
一个值得玩味的细节:Strava的用户协议里,关于军事人员使用的风险提示藏在第17页。而「开始跑步」的按钮,永远在首页正中央。
当产品设计的优先级与国家安全冲突,谁该让步?这个问题,Strava的客服机器人回答不了,英国国防部的发言人也回答不了。而那个在Faslane基地标记「Security Breach」的士兵,或许根本没想过要问。
热门跟贴