周三下午,安全研究人员保罗·摩尔在X平台发布了一段视频,展示了一个令人不安的事实:欧盟最新的年龄验证应用(2026.07-1版本)可以在浏览器端被轻易绕过,而他使用的工具只是一个搭载了ClaudeAI能力的Chrome浏览器扩展。
这个证明性演示揭示了一个根本问题:尽管经过了数月的安全加固,匿名年龄验证模型仍然存在设计层面的缺陷——可重复使用的“已满18岁”证明令牌并未与真实用户身份绑定。保罗展示了如何让更新后的应用在浏览器中反复接受同一个成熟的令牌,无需任何新的验证步骤,也不要求身份关联。
问题的核心不在于攻击了密码学机制,也没有突破服务器端的检查。Chrome扩展程序的做法是拦截并重放匿名年龄证明:每当有网站请求年龄验证时,扩展就把之前获取的那份有效证明重新提交一遍。一份成功的认证被重复使用在多个会话中。
按照应用的设计理念,它只需确认用户超过某个年龄门槛,同时刻意不触碰个人信息。接收验证请求的网站永远无法知道,提交证明的人是否就是实际操作键盘的那个人。年龄声明与用户身份之间的这种脱钩,恰好构成了扩展程序可利用的核心弱点。
这背后是欧盟的政策目标:推行“保护隐私”的年龄核验,不向网站共享姓名、身份标识或其他敏感数据。在技术上,这被转化为一种匿名证明模型,验证方收到的只是一个二元陈述——例如“用户已满18岁”——而并非完整的身份档案。保罗的绕过方法表明,这种匿名性实际上阻止了证明令牌、用户和具体会话之间建立起稳固的绑定关系。
一个有效的“满18岁”令牌一旦被捕获并复现,系统就无从区分合理使用与滥用行为。结果就是,任何具备一定技术能力的用户,或者别有用心者,都能把一次真实验证转化为一张通用的“成人访问通行证”,在多个网站和不同场景下反复使用。
对此,欧盟方面的官员表示,该应用已经经历了三个月的安全改进,包括更优的机密信息存储机制以及强化的客户端防护。但保罗的观点是,渐进式的补丁无法解决底层的架构问题:信任模型仍然依赖匿名的、可复用的证明,这些证明缺乏足够的上下文,对重放攻击和自动化操作的抵抗力薄弱。从安全工程的角度看,这与其说是一个程序错误,不如说是隐私需求与执行要求之间的结构性错配。
对于那些正在为欧盟年龄验证法规做准备的网站运营方而言,保罗的研究工作是一个明确警告:仅仅依赖官方应用可能无法带来预期的保护效果。攻击者不需要使用零日漏洞或复杂的恶意软件,只需利用浏览器自动化和扩展程序的逻辑,就能在集成层面绕过策略控制。
热门跟贴