← 返回信息流
AI 资讯Hacker News·1 小时前

旧金山警方无人机录像泄露,城市监控现实曝光

原标题:Leak of San Francisco Police Drone Footage Exposes Reality of Urban Surveillance

速览

一段泄露的旧金山警方无人机监控录像展示了城市监控的实时画面,引发公众对隐私和监控政策的担忧。该事件凸显了执法机构使用无人机进行空中监视的普遍性,以及数据安全漏洞的风险。

AI 深度解读

旧金山警用无人机视频泄露事件:城市监控的真相暴露

背景

2025年6月中旬的一个周六午后,一架重约5磅(约2.3公斤)的Skydio X10四旋翼无人机悬停在旧金山某公寓楼上方约200英尺(约61米)的高空,监视着警方追捕一名藏在停泊车辆后的男子。这名被追捕的目标趴在人行道上,显然没有意识到自己完全暴露在头顶的“飞行之眼”视野中。实际上,这架无人机已经跟随他穿越大半个城市,放大画面拍摄了他的黑色SUV车牌,并让该车始终保持在视频画面中央,直到他停车。随后,无人机记录下警方合围并制服该男子的全过程。

这段无人机实时视频并非由旧金山警察局(SFPD)主动公开——与美国大多数警察局一样,SFPD极少公布无人机视频,即便面对公共记录请求也通常拒绝。相反,这段视频因一个安全漏洞而被意外直播到了公开互联网上:Skydio公司的网站未经任何身份验证,就向所有找到公开网页地址的人开放了五架监控无人机的实时视频流,包括彩色和热成像画面、附带的位置元数据,以及无人机操作员的姓名和电子邮件地址。

两名安全研究员Sam Curry和Maik Robert发现了这个漏洞,并在发现后约两天内向Skydio报告。视频流很快被下线,但在此之前,研究员已经目睹了警方从空中追踪车辆和个人、实施多次逮捕和搜查的全过程——这些内容均通过一个完全公开的网址可见。

核心内容

Curry和Robert在2025年6月中旬发现,旧金山警察局正在通过Skydio的网站泄露五架实时无人机的完整视频流。任何知道该公开网址的人都可以查看彩色和热成像画面、实时位置数据以及飞行员信息。这个链接似乎早在2024年12月就已创建,且没有设置任何身份验证或访问限制,有效期长达一年。随后,该链接被添加到了安全研究人员常用的开源威胁情报数据库AlienVault Open Threat Exchange中,这意味着它可能已经暴露了至少六个月之久。

在视频流保持直播的约48小时内,Curry和Robert存档了大量数据和视频,并分享给了《WIRED》杂志。《WIRED》分析了其中20次飞行任务产生的60个视频(每次任务包含彩色、热成像和无人机屋顶停机坪视角三个画面),共计超过3小时的彩色航拍视频和约3小时的热成像视频。视频还包含每秒一次的遥测日志,记录每架无人机的经纬度、高度、速度、航向和电池电量,总计超过5000个GPS点,覆盖约44英里(约71公里)的飞行轨迹。日志中还出现了六名SFPD飞行员的姓名和电子邮件地址。

视频内容记录了两次强制拘留(是否真正逮捕尚不明确)、警方进入一栋高层公寓的单元、对流浪者聚集的小巷进行搜查,以及大量其他模糊的监视行为——无人机对个人、车辆或建筑物进行监视。在彩色视频中,软件识别出20次飞行中拍摄了数百人和车辆。当无人机悬停在一个市中心十字路口上方时,单帧画面中就有34人横穿马路或站在人行道上。所有视频中清晰可见数十人的面部。

具体案例包括:警方通过无人机追踪一名涉嫌“汽车盗窃/拆卸”(auto boost/strip)的嫌疑人,四架Skydio无人机在半小时内接力跟踪;一架无人机从附近麦当劳被调离——那里原本在监视两名刚从嫌疑人车辆下车的乘客——转而从第二个角度拍摄逮捕过程。另一段视频显示,警方通过高楼公寓窗户看到内部情况(警记录描述为“福利检查”或“失踪人员”调查)。还有视频记录警方在小巷与流浪者交谈(警记录描述为“持刀人员”调查)。

研究员指出,该漏洞并非Skydio系统本身的错误,而是SFPD对Skydio软件功能的误用。Skydio允许用户生成可共享的视频链接或实时数据流访问权限(称为ReadyLinks),并支持设置身份验证码或过期时间。但SFPD的某位授权用户在2024年12月创建了一个链接,未设置任何身份验证,且有效期长达一年。随后该链接被添加入公共威胁情报库,被研究员发现。

SFPD在回应《WIRED》的声明中称,该视频网址是“仅用于执法目的的内部受限链接”,属于“允许SFPD协调执法和公共安全行动”的类型,并表示该链接“被未经授权的人不当获取和访问”。Curry和Robert反驳强调,他们没有绕过任何安全或身份验证机制——这正是“未经授权访问”的典型法律定义。SFPD后续声明称:“在得知漏洞后,SFPD已实施更严格的共享协议,以确保未经授权者无法访问我们的录像。目前我们尚未掌握其他人在访问该直播视频流的信息。此事仍在调查中。”Skydio未回应《WIRED》的评论请求。

关键要点

  • 漏洞发现:安全研究员Sam Curry和Maik Robert在2025年6月发现旧金山警察局通过Skydio网站泄露了五架无人机的实时视频流,包含彩色和热成像画面、位置元数据及飞行员信息。
  • 暴露时长:泄露链接创建于2024年12月,有效期一年,且未设置任何身份验证。该链接被添加至公开威胁情报数据库,可能已暴露至少六个月。
  • 视频内容:存档包括约3小时彩色航拍和3小时热成像视频,覆盖20次飞行,拍摄了数百人、数十张清晰面部,以及车辆和建筑物的监视画面。视频记录了两次强制拘留、公寓搜查、小巷清理等警力行动。
  • 技术细节:遥测日志包含5000多个GPS点、44英里飞行轨迹,以及六名飞行员的姓名和电子邮件地址。
  • 漏洞成因:漏洞并非Skydio系统缺陷,而是SFPD对Skydio共享功能的误用——创建了无需认证且有效期一年的公开链接,并意外暴露在公开数据库中。
  • 警方回应:SFPD称该链接为“内部受限链接”,指责“未经授权者不当获取”,但未解释为何未设安全保护。研究员强调没有任何绕过安全机制的行为。
  • Skydio角色:作为美国领先的警用、消防、军事无人机供应商,Skydio的X10无人机是SFPD无人机计划的核心。SFPD自2024年启动该计划,至2026年3月已从6架扩展到98架,累计执行超1400次起飞任务。
  • 透明度问题:旧金山市设有无人机飞行信息公开门户,但只发布飞行日志(不含视频),而此次泄露的视频流不属于该透明度体系。

意义与影响

  1. 隐私危机:无人机监视在未经授权的情况下实时向公众开放,使任何角度观看者均可查看警方监控下的城市居民——包括他们的活动、住所甚至面部。研究员Sam Curry指出:“当观看直播无人机画面时,你可以看到几十个不同公寓的内部,看到警方放大画面监视个人,看到逮捕过程。所有这些内容暴露出来,从隐私角度看是一个非常大的问题。”

  2. 警方监控透明度争议:SFPD拒绝公开无人机视频,却因操作失误导致全面泄露,暴露出内部管理混乱。此次事件强化了公众对警方过度监控的担忧——大量看似无害的监视(如检查流浪者、追踪车辆)是否必要?警方是否滥用无人机进行无合理怀疑的监视?

  3. 技术平台责任:Skydio提供了灵活的共享链接功能,但未强制要求安全设置。虽然漏洞是用户误操作,但平台是否应默认启用更强的访问权限控制?在执法场景下,默认公开任何链接都可能酿成严重后果。

  4. 法律与监管漏洞:美国多数警察局极少公开无人机视频,即使通过公共记录请求也难获得。此次无意泄露揭示了无人机监控的“黑箱”状态——公众无法知晓警方如何、何时、为何使用无人机。加州已有多项立法提案要求对无人机监控进行更严格的透明度和隐私保护,此次事件可能加速相关立法进程。

  5. 对执法公信力的冲击:SFPD在声明中称链接被“不当获取”,但研究员未绕过任何安全机制。这种态度可能引发对警方诚信度的质疑——是否试图淡化自身的重大过失?若公众发现警方更倾向于“推诿”而非“负责”,将削弱对执法机构的信任。

  6. 对行业未来的警示:Skydio作为美国领先的警用无人机供应商

查看原文 →wired.com