間諜軟件首犯Bryan Fleming零監(jiān)禁：10年來首例判了

美國聯(lián)邦法院上周做出一項(xiàng)判決：過去十年首個(gè)被定罪的間諜軟件制作者Bryan Fleming，最終只需繳納5000美元罰款，無需入獄。從2014年司法部上一次成功起訴同類案件至今，這條產(chǎn)業(yè)鏈已經(jīng)運(yùn)轉(zhuǎn)了整整11年。

「時(shí)間已服刑」：一個(gè)產(chǎn)品經(jīng)理的司法結(jié)局

2025年1月的認(rèn)罪聽證會(huì)上，F(xiàn)leming承認(rèn)制造、銷售并推廣用于非法用途的監(jiān)控軟件pcTattletale。周五在圣地亞哥聯(lián)邦法院，檢察官此前已請(qǐng)求法官不予監(jiān)禁或罰款，最終判決與請(qǐng)求一致——「時(shí)間已服刑」（time served）加5000美元罰金。

這個(gè)量刑結(jié)果讓案件本身更像一個(gè)產(chǎn)品bug報(bào)告：系統(tǒng)檢測(cè)到了問題（定罪），但修復(fù)方案（懲罰）幾乎為零。Fleming的律師Marcus Bourassa未回應(yīng)TechCrunch的置評(píng)請(qǐng)求。

國土安全調(diào)查局（HSI）2025年對(duì)Fleming提起指控，這是針對(duì)消費(fèi)級(jí)間諜軟件行業(yè)更廣泛調(diào)查的一部分。調(diào)查人員向TechCrunch解釋，盡管多數(shù)運(yùn)營(yíng)商在海外運(yùn)營(yíng)，F(xiàn)leming因在美國境內(nèi)銷售并協(xié)助使用間諜軟件，成為司法管轄范圍內(nèi)的目標(biāo)。

pcTattletale的商業(yè)模式：把監(jiān)控包裝成「家長(zhǎng)控制」

pcTattletale這類應(yīng)用被業(yè)內(nèi)稱為「跟蹤軟件」（stalkerware）。付費(fèi)用戶通常在他人不知情的情況下，將監(jiān)控程序植入配偶或伴侶的設(shè)備。植入后，軟件會(huì)秘密上傳受害者的消息、照片、實(shí)時(shí)位置，所有數(shù)據(jù)對(duì)植入者完全可見。

聯(lián)邦調(diào)查人員在申請(qǐng)搜查Fleming住所的宣誓書中指出，他在某些情況下「明知故犯地協(xié)助試圖監(jiān)視非自愿、非雇員成年人的客戶」。換句話說，他清楚買家在干什么，并且提供了技術(shù)支持。

具體受害人數(shù)未知，但2024年的一次數(shù)據(jù)泄露暴露了這套系統(tǒng)的運(yùn)行規(guī)模。安全研究員發(fā)現(xiàn)pcTattletale存在一個(gè)安全漏洞：數(shù)百萬張屏幕截圖——由間諜軟件每隔幾秒從受害者設(shè)備抓取——被暴露在公開互聯(lián)網(wǎng)上。任何人都能查看他人的電腦屏幕內(nèi)容，包括多家美國酒店登記電腦上的住客信息和預(yù)訂詳情。

Fleming沒有回應(yīng)研究員，也沒有修復(fù)這個(gè)漏洞。

TechCrunch報(bào)道一周后，F(xiàn)leming關(guān)閉了pcTattletale。但關(guān)閉不等于清算：用戶數(shù)據(jù)的去向、是否通知受害者、系統(tǒng)架構(gòu)是否被轉(zhuǎn)賣，這些問題都沒有公開答案。

十年空窗期：為什么現(xiàn)在才抓人

2014年至2025年，美國司法部在間諜軟件制作者起訴記錄上交了白卷。這11年間，跟蹤軟件從邊緣工具成長(zhǎng)為完整的消費(fèi)級(jí)市場(chǎng)：應(yīng)用商店里的「家長(zhǎng)控制」標(biāo)簽、按月訂閱的SaaS模式、甚至24小時(shí)客服支持。

Fleming案的突破點(diǎn)在于管轄權(quán)。多數(shù)競(jìng)爭(zhēng)對(duì)手將服務(wù)器和運(yùn)營(yíng)主體設(shè)在法律執(zhí)行困難的司法管轄區(qū)，而Fleming選擇在美國本土完成銷售閉環(huán)——這讓他成為司法部能碰到的第一個(gè)目標(biāo)。

判決結(jié)果本身傳遞的信號(hào)復(fù)雜。一方面，定罪確立了法律先例，為后續(xù)起訴「開了門」；另一方面，零監(jiān)禁的懲罰力度與間諜軟件造成的實(shí)際傷害嚴(yán)重不匹配。一位受害者可能因設(shè)備被監(jiān)控而遭受家庭暴力、職場(chǎng)歧視或身份盜竊，而制作者的代價(jià)是5000美元——大約相當(dāng)于pcTattletale年費(fèi)訂閱的100個(gè)客戶。

檢察官的請(qǐng)求與最終判決一致，暗示案件可能存在量刑協(xié)商或證據(jù)局限。但公開文件未披露細(xì)節(jié)。

數(shù)據(jù)泄露暴露的系統(tǒng)性失敗

2024年的安全漏洞事件值得單獨(dú)復(fù)盤。研究員發(fā)現(xiàn)的問題不是加密強(qiáng)度不足或認(rèn)證繞過，而是最基本的訪問控制缺失：截圖存儲(chǔ)在可公開訪問的URL路徑上，沒有身份驗(yàn)證。

這相當(dāng)于一家「安全監(jiān)控公司」把客戶的監(jiān)控錄像帶堆在街邊，任何人都能翻閱。更諷刺的是，受害者包括酒店前臺(tái)電腦——這些設(shè)備被植入pcTattletale后，住客的姓名、信用卡信息、房間號(hào)全部暴露。

Fleming的應(yīng)對(duì)方式是沉默。不回應(yīng)安全報(bào)告，不發(fā)布補(bǔ)丁，不通知受影響用戶。直到媒體報(bào)道引發(fā)輿論壓力，他才選擇關(guān)閉服務(wù)。這種「鴕鳥策略」在消費(fèi)級(jí)監(jiān)控行業(yè)并不罕見：公司規(guī)模越小，安全投入越低，漏洞響應(yīng)越慢。

TechCrunch的追蹤報(bào)道顯示，pcTattletale關(guān)閉后，其域名曾短暫跳轉(zhuǎn)至其他監(jiān)控軟件推廣頁面，暗示Fleming可能試圖將用戶資產(chǎn)轉(zhuǎn)移至關(guān)聯(lián)業(yè)務(wù)。這一細(xì)節(jié)未在法庭文件中出現(xiàn)，但揭示了行業(yè)生態(tài)的流動(dòng)性——一個(gè)品牌倒下，運(yùn)營(yíng)者換個(gè)名字繼續(xù)。

行業(yè)格局：Fleming只是冰山一角

消費(fèi)級(jí)間諜軟件市場(chǎng)的規(guī)模難以精確統(tǒng)計(jì)，但安全研究員的追蹤提供了參照。每年，反跟蹤軟件聯(lián)盟（Coalition Against Stalkerware）都會(huì)更新威脅指標(biāo)列表，涵蓋數(shù)百個(gè)活躍應(yīng)用。這些應(yīng)用的功能集高度同質(zhì)化：鍵盤記錄、屏幕截圖、GPS追蹤、社交媒體監(jiān)控。

差異化競(jìng)爭(zhēng)集中在兩個(gè)維度：逃避檢測(cè)的能力和「客戶支持」的質(zhì)量。后者包括教用戶如何物理接觸目標(biāo)設(shè)備、如何隱藏應(yīng)用圖標(biāo)、甚至在關(guān)系破裂后如何恢復(fù)被刪除的數(shù)據(jù)。

Fleming的pcTattletale在技術(shù)上并無特殊之處。其被選中起訴，更多是因?yàn)榈乩肀憷远切袨閲?yán)重性。這意味著大量同等或更嚴(yán)重的行為者仍在運(yùn)營(yíng)，且沒有面臨司法風(fēng)險(xiǎn)。

判決后的開放問題是：下一個(gè)Fleming何時(shí)出現(xiàn)？司法部是否會(huì)將此案作為模板，加速對(duì)海外運(yùn)營(yíng)者的引渡程序？或者，5000美元的懲罰力度反而向市場(chǎng)傳遞了「風(fēng)險(xiǎn)可控」的信號(hào)？

一位長(zhǎng)期追蹤跟蹤軟件的研究員在社交媒體上的評(píng)論被大量轉(zhuǎn)發(fā)：「他們花了11年找到第一個(gè)能起訴的人，然后告訴他『沒關(guān)系』。」