用 Rust 編寫，已有 10 萬行代碼：頂級黑客組織出手，將推出新的反數據收集開源框架 Veilid

Twitter 前安全主管 Peiter 「Mudge」 Zatko 也是死牛崇拜的成員。

另一位先驅則是 Christien Rioux，他編寫了一款用於攻擊 Windows 設備的開源工具 Back Orifice 2000，並於 1999 年的 Def Con 大會上發布，因此十多年來他一直是 Microsoft 的眼中釘。Rioux 隨後與他人共同創立了 Veracode 公司，專門開發可查找潛在安全缺陷的掃描軟體。目前這家公司的估值已經超過 20 億美元。

Rioux 和 Zatko 同時也是 L0pht 組織的成員，該組織在 25 年前曾向美國國會發出著名警告，稱網際網路基礎設施的安全水平極其低下。另外，該組織還激發了標誌性隱私工具的創建，例如匿名瀏覽器 Tor。

該組織目前正致力開發一套新系統。這群技術活動家們希望藉助這項成果，構建起不會保留用戶個人數據的消息傳遞和社交網絡應用。

而得知此消息的網友們十分激動：「當我在 2000 年左右第一次聽說他們時，他們已經達到了某種神話般的地位。」「天啊，當初炸裂了的 cDc？！已經很久沒有聽到這個名字了，以至於我都快要忘記了。就像，至少幾十年。太好了，他們還繼續活躍著！」「哇，完全是過去的回憶。好高興聽說他們還在活躍！」

新的開發框架

cDc 組織開發的是一種可供應用開發者使用的編碼框架，希望通過其強大的加密技術顛覆現狀，消除目前大多數應用從常規數據中收集具體資料、據此發布個性化廣告的行業常態。

該團隊選擇以 Signal 等免費產品為基礎。Signal 能夠為文本消息和語音通話提供強大的加密功能，而 Tor 則通過一系列伺服器路由流量來掩蓋上網用戶的真實位置，藉此實現真正匿名的網絡活動。

關於本次新框架的開發細節，將在下周於拉斯維加斯召開的年度 Def Con 黑客大會上具體披露。他們希望為消息傳遞、文件共享甚至是社交網絡類應用打造新的基礎，用全面端到端加密的方式保證用戶信息安全、拒絕數據收集。

這套新框架名為 Veilid（發音為 vay-lid），開發人員可以利用它為移動設備或 Web 端構建應用程式。開發團隊表示，這些應用程式將使用 Veilid 協議相互傳遞經過完全加密的內容。而且跟文件共享軟體 BitTorrent 類似，隨著更多設備加入進來並分攤負載，網絡傳遞速度會變得越來越快。在這種去中心化的「點對點」網絡中，用戶彼此在對方處下載數據，而不再依靠集中化伺服器設施。

在架構上，Veilid 是 用 Rust 編寫的，使用強大的加密技術，並且節點可以在 Linux、Mac、Windows、Android、iOS 以及瀏覽器的 WASM 上運行。它通過 UDP、原始 TCP、Websockets 和安全 Websockets 進行低級別的通信協議。節點被優化用於低延遲、高節點變動，並且特別能夠處理低級別的網絡變化，比如在通信過程中從蜂窩網絡切換到 Wi-Fi 網絡。

與其他開源項目一樣，工作中的最大難點在於 說服更多程式設計師和工程師花時間來設計與 Veilid 相兼容的應用程式。儘管開發者可以選擇付費應用或者彈窗廣告，但由於無法收集用戶的詳細個人信息，所以不可能拿到分髮針對性廣告或向特定用戶群體推銷產品的這部分傳統收益。

Veilid 背後的開發團隊尚未發布關於設計路線的說明文檔，只提到他們是在初始開發的消息傳遞應用上進行協作。這款應用無需電話號碼即可運行，但目前還沒有供對外發布的測試版本。

目前社交網絡和聊天用戶對於 Twitter 和 Facebook 的不滿已經積累到了臨界點，在市場混亂、衝突的大背景之下，大家也更願意抱著嘗試的心態接納新生事物。

非營利組織電子前沿基金會執行董事 Cindy Cohn 表示，「人們正在開發一套全面覆蓋的端到端加密框架，這真是太棒了。我們有望突破固有的監控商業模式。」

經過三年的籌備和開發之後，Veilid 終於降臨人間，成為黑客和安全領域中罕見的「野心之作」。

Veilid 是 cDc 這十多年來最重要的發布成果。

Rioux 在 Veilid 框架中承擔了全部 10 萬行代碼中的大部分工作量，死牛崇拜的其他成員則主要參與測試和反饋，包括制定政策、撰寫文檔和開發首款應用。

Rioux 在採訪中解釋道，「我們可以將 Tor 視為網站訪問中的隱私系統，它能對源 IP 做匿名化處理。」所謂源 IP，是指分配給各計算機且一般可以追蹤的數字名稱。但 RIoux 強調，Tor 使用起來非常複雜，「不太適合移動設備，而且構建方式也不夠現代。」

「我們的成果有點像 Tor，但主要面向應用端。現在每個人口袋裡的手機都是部小超算，那為什麼把它們匯聚起來構建新的雲呢？」

Rioux 和 Veilid 項目的其他參與者表示，決定成敗的關鍵是能不能降低開發者和用戶的接受門檻，最好能像 Facebook 那麼簡單易用。現有應用都可以製作與 Veilid 兼容的版本，確保用戶在不受任何第三方窺探的前提下進行通信。

Veilid 的意義是什麼？

該項目由一家已早點 501c（3）非營利資質的基金會運營，三名董事分別是 Rioux、新近加入 cDc 的 Katelyn Bowden，以及活躍於上世紀 90 年代並長期從事安全工作的 Paul Miller。

Bowden 指出，「現在要找款不出售用戶數據的應用實在太難了。我們將賦予人們拒絕這種數據經濟的選項。……將權力歸還給用戶，賦予他們對自己數據的掌控權，同時狠狠打擊那幫靠銷售私密信息賺取大量財富的傢伙。」

一些參與過代碼測試的資深工程師表示，該項目確實表現良好。

其中一位工程師 Kirk Strauser 指出，他很高興 Rioux 採用了經過驗證的加密協議，而不是從零開始純靠原創。

他將 Veilid 與點對點先驅 Napster 相提並論，後者也是一款革命性產品，同樣主要由現有技術組裝而成。

Strauser 在一家數字健康公司擔任首席安全架構師，他表示「這是一種將現有技術成果組合起來的新方式。」

Veilid 面對的最複雜挑戰之一在於內容審核，這也是 Twitter 和 Facebook 始終沒能處理好的核心難題。

近期湧現的一些後起之秀，例如 Mastodon，選擇了所謂「聯邦」方案。即將用戶劃分成一個個團體，各團體既堅守自己的規則、又可與其他規則不同的團體保持鬆散聯繫。

Facebook 母公司 Meta 表示，未來將保證新發布的 Threads 能夠與 Mastodon 等新興社交平台相兼容。但在 Veilid 非正式顧問 Micah Schaffer 看來，這僅僅是網際網路大廠利用聯邦設計 「來營造你有的選的幻覺。他們其實是以一種偏離審核責任的方式在擁抱聯邦設計——不喜歡這裡？那你怎麼不去別的伺服器？」

完全加密之後，版主將看不到那些「有毒」的互動，這也是 Veilid 官方 Web 應用只允許用戶邀請特定關注者的原因之一。

Schaffer 曾在 YouTube 建立起首個安全團隊，隨後又在 Snap 領導公共政策事務。「Veilid 為新一代社交應用打開了大門，讓應用在設計層面就變得更加安全。」

Rioux 表示，他希望自己在 Def Con 大會首日開幕式上和 Bowden 的對話以及後續的技術研討與線下聚會，能夠吸引到更多的關注者以推動 Veilid 項目取得成功。

「Def Con 是以隱私為中心的用戶和開發者們的大本營。我們選擇在這個正確的地點推出正確的方案，希望吸引到更多對此感興趣的朋友。」

隱私和安全機構自然也在密切關注當下發生的一切。

PGP 公司及安全通信廠商 Silent Circle 與 Blackphone 聯合創始人、發明家 Jon Callas 率先出面支持，「我非常讚賞他們不畏艱險的精神，也期待能看到更多項目細節。」

參考連結：

https://veilid.com/#about

https://twitter.com/VeilidNetwork

https://www.washingtonpost.com/technology/2023/08/02/encryption-dead-cow-cult-apps-def-con/

https://www.axios.com/2019/06/06/cult-of-dead-cow-lessons-from-historys-great-hacker-groups

https://www.linkedin.com/posts/lancing-light_veilid-defcon-socialmedia-activity-7092552164782325760-LEQY/

https://www.reddit.com/r/technology/comments/15g9npx/hacking_group_cult_of_the_dead_cow_plans_system/

點擊底部閱讀原文訪問 InfoQ 官網，獲取更多精彩內容！

今日好文推薦

工信部要求所有 App、小程序備案；某國產電商被提名 Pwnie Awards 「最差廠商獎」；阿里財報超預期 | Q資訊

谷歌的反「背鍋」文化

生成的代碼會出錯、質量差？面對 AI 編程工具的老大難問題，華為這群人打算這樣做

谷歌重磅發布多平台應用開發神器：背靠 AI 編程神器 Codey，支持 React、Vue 等框架，還能補全、解釋代碼