AmIUnique:你的浏览器指纹有多容易识别
即使你运行 VPN、新建钱包、使用隐身模式浏览网页,并且从未重复使用过地址,网站仍然能够识别出你的身份。访问 AmIUnique,点击一个按钮,大多数人都会得到同样令人不安的结果:你的浏览器是独一无二的。不是罕见,而是在项目数据集中的所有浏览器中都是独一无二的。正是这一事实,构成了许多在线追踪背后的隐形引擎,对于任何持有加密货币的人来说,这远不止是广告骚扰那么简单。同样的浏览器指纹,既能让广告网络追踪你,也能将你以为已经完全隔离的“匿名”钱包与经过 KYC 验证的交易所登录信息关联起来。这正是 AmIUnique 所衡量的,也是你的浏览器如此容易被识别的原因,以及它真正发挥作用的地方。
AmIUnique 的工作原理及其读取的内容
首先,请纠正一下您对分数的解读方式。AmIUnique 并非隐私产品。它不会保护您的隐私,也不会出售任何产品。它是由法国 Inria 和 CNRS 的研究人员发起的一个学术项目,旨在绘制浏览器指纹的真实多样性,并为开发者提供数据以设计更有效的防御措施。在 amiunique.org 上运行测试,您不仅验证了自己的数据,也贡献了一个数据点。
它读取的浏览器属性
该测试会在页面加载时立即运行 JavaScript。无需权限提示,也无需警告。它会读取您的用户代理,从而确定您的浏览器版本和操作系统。然后,它会读取屏幕分辨率和颜色深度、时区、语言、已安装的字体、插件以及浏览器在每次请求中发送的 HTTP 标头。其中,Canvas 和 WebGL 是关键组件。页面会悄悄地请求您的浏览器绘制一张隐藏图像,而您的 GPU 和驱动程序渲染图像的细微方式会被记录下来,作为浏览器的“签名”。
它如何评价你的独特性
单独来看,这些值都无法指向你。数以百万计的人使用着相同的浏览器版本。关键在于技术栈。AmIUnique 会获取你的所有属性,将其与自身的数据集进行比对,并告诉你有多少其他浏览器与你的浏览器匹配。通常情况下,答案是零。2018 年,Laperdrix 及其同事研究了 118,934 个浏览器,发现其中 89.4% 的浏览器指纹是独一无二的。2025 年,谷歌和麻省理工学院的研究人员使用不同的方法,对 8,400 人的样本组进行了一项研究,结果显示,只有大约 60% 的美国用户拥有完全独特的浏览器指纹。自那以后,安全防护措施有所改进。大多数人的浏览器指纹仍然是独一无二的。只有当浏览器指纹保持不变时,这种独特性才会转化为追踪,而这正是网站能够在你下次访问时识别你的原因。
使用 AmIUnique 检查您的浏览器指纹
检查本身只需几秒钟。访问 amiunique.org,运行指纹识别测试,然后查看两项数据:相似度比率(有多少浏览器拥有相同的指纹)和属性表,该表显示了哪些值较为罕见。不要只使用一个工具。EFF 的 Cover Your Tracks 和BrowserLeaks使用不同的数据集运行类似的测试,比较它们可以获得更全面的信息。将“唯一”视为信息,而不是定论。它告诉你你的暴露程度,而不是你已经处处被跟踪。
为什么浏览器指纹可以识别你
唯一性本质上是一个熵问题。浏览器显示的每一个属性都包含一些识别信息,一旦这些信息积累到一定数量,其他人匹配的概率就会降至接近于零。无需 cookie,清除 cookie 也不会改变任何结果。即使删除所有 cookie,重新启动会话,相同的属性仍然会重新组合成相同的标识符。这种无需任何存储文件的持久性正是指纹识别难以破解的原因。
十多年来,这些数据一直保持稳定。在电子前沿基金会 (EFF) 2010 年的 Panopticlick 研究中,83.6% 的浏览器具有唯一可识别性,至少携带 18.1 比特的熵,这相当于共享同一“指纹”的概率约为 1/286,777。仅 Canvas 渲染一项就能贡献约 5.7 比特的熵。下表显示了熵的来源。
| 属性 | 它揭示了什么 | 识别权力 |
|---|---|---|
| Canvas / WebGL | 通过渲染图像了解 GPU 和驱动程序的怪癖 | 高(画布上约 5.7 位) |
| 已安装字体 | 软件、语言包、操作系统 | 高的 |
| 用户代理 | 浏览器版本、操作系统 | 中等的 |
| 屏幕分辨率 + 色彩深度 | 显示和设备类 | 中等的 |
| 时区 + 语言 | 大致位置,地点 | 低至中等 |
| 插件 + HTTP 标头 | 配置详情 | 含量低,但有增值作用。 |
为什么浏览器指纹识别技术持续增长
为什么情况不但没有好转反而每况愈下?罪魁祸首竟然是 Cookie。二十年来,网络追踪一直依赖第三方 Cookie,而如今它们正走向消亡。Safari 和 Firefox 默认屏蔽 Cookie,广告行业急需一种不会存储在可擦除存储介质上的替代方案。指纹识别技术应运而生。数据表明,它迅速崛起。加州大学圣地亚哥分校 2025 年的一项研究发现,在排名前 2 万的网站中,有 12.7% 的网站使用了 Canvas 指纹识别技术。另一项 2025 年的研究统计了美国排名前 500 的网站中超过三分之一的网站使用了指纹识别脚本,并首次证实,这些脚本不仅用于欺诈检测,还用于跨站追踪。
如果你卖广告,这个逻辑很难反驳。Cookie 是一个可以删除的文件,而指纹更接近于你的身份。它无需存储任何信息,无需点击横幅广告,用户也无需寻找重置按钮。正因如此,监管机构开始将其视为需要用户同意的追踪手段。Cookie 正在被淘汰,指纹识别正在填补这一空白。像 AmIUnique 这样的工具之所以仍然有用,正是因为它们能量化你泄露的信息量。
浏览器指纹和加密在线隐私
对大多数人来说,指纹识别意味着广告会如影随形地跟着他们。但对加密货币用户而言,情况却截然不同。你的数字指纹可以将你用真实姓名完成 KYC 验证的交易所与你以为是私密的钱包会话关联起来。这并非广告,而是去匿名化。
您的钱包是一个被动标志
以下这一点应该引起所有加密货币用户的警惕。当你安装 MetaMask 或几乎任何 EVM 钱包时,它会在你访问的每个页面中注入一个名为 window.ethereum 的 JavaScript 对象。任何网站都可以悄悄地检查它。在2023 年 USENIX Security 的一项研究中,研究人员抓取了约 96,905 个网站,发现其中 1,099 个网站已经在探测加密货币钱包数据,而 window.ethereum 是被检查次数最多的对象,共有 210 个脚本对其进行了查询。超过一半的检查来自第三方脚本,也就是说,是由追踪器而非你访问的网站进行的。
将指纹与您的真实身份关联起来
仅凭拥有钱包这一信息本身就是一种标记。结合稳定的指纹信息,它就变成了一座桥梁。如果同一个指纹信息在你登录 KYC 交易所和将钱包连接到 DeFi 应用时出现,那么即使跨越 VPN 或使用不同的 IP 地址,这两个会话也可以关联起来。交易所知道你的名字,剩下的就交给这个关联信息吧。
想象一下日常生活中的例子。你用笔记本电脑在一家大型交易所验证了身份,之后在同一浏览器中打开一个硬件钱包,使用一个你希望保密的借贷协议。你从未在链上进行过资金往来,因此区块浏览器显示没有关联。但是,一个对这两个会话进行指纹识别的数据经纪商却看到了同一个浏览器,现在你的“私密”账户上出现了你的真实姓名。这就是VPN和新钱包地址无法弥补的隐私漏洞,因为泄露发生在浏览器端,而不是网络端。
指纹识别带来的风险远不止广告追踪
追踪你的技术也同样会限制你的活动。反欺诈和机器人检测系统利用指纹识别来标记账户,而那些运行多个交易所或空投账户的交易者,如果账户设置过于相似,就会被识别并封禁。空投农夫们对此深有体会:项目方越来越多地通过共享浏览器指纹和IP地址来对钱包进行分组,以剔除那些被标记为“女巫”的账户,从而剥夺他们的奖励,一次筛选就可能抹杀数月的辛勤耕耘。正是这种压力催生了“反检测”或指纹识别浏览器这一庞大的产业,它们主要服务于加密货币多账户,每个账户都拥有一个精心设计且一致的指纹。
这些工具本身也存在风险,而基于真实浏览器而非合成配置文件构建的AmIUnique数据集则揭示了托管指纹为何往往不如其供应商声称的那样独特。据SlowMist分析,2025年初,一家指纹浏览器供应商遭受的供应链攻击波及约3万用户,导致约410万美元的加密货币被盗。教训显而易见:将钱包交给闭源隐私工具可能弊大于利。监管机构也对此密切关注。2024年10月,欧洲数据保护委员会确认,根据ePrivacy规则,指纹识别需要事先获得用户同意。2025年2月,谷歌宣布将在其广告技术栈中启用指纹识别,英国数据监管机构随即称此举不负责任。
AmIUnique 能保护您吗?VPN 限制
AmIUnique 提供诊断服务,但不提供防御。运行测试不会改变您的可追踪程度,只会显示测试结果。大多数人首先采取的防御措施在这里几乎无效。VPN 可以隐藏您的 IP 地址,但无法隐藏您的指纹。隐身模式可以清除 cookie 和历史记录,但无法清除画布和字体中的信息。两者都无法清除指纹。
还有一个更隐蔽的陷阱值得注意。正如 Castle 的研究人员指出的那样,独特性并不等同于被追踪,因为真正的追踪还需要你的指纹信息在一段时间内保持稳定和一致。简单的欺骗手段在这里会适得其反:如果你伪造了一个用户代理,但仍然通过 Canvas 显示你真实的 GPU,这种不匹配本身就是一个信号,最终你反而比什么都不做更容易被发现。
如何减少你的独特指纹
指纹无法抹去。你可以选择融入人群,也可以选择成为移动的目标,而正确的选择取决于你在网上做什么。这两种严肃的做法截然相反。
Tor 浏览器采用统一性模型:它使每个用户看起来尽可能相似,因此通过 Tor 运行 AmIUnique 测试通常会返回接近于零的相似度,而不是唯一的结果。这是最强的防御手段,但它会破坏大多数 DeFi 前端,这对活跃的加密货币用户来说是一个不小的损失。Brave 则采用随机化方案,在画布和音频中添加少量会话噪声,使你的指纹每次都会发生变化,从而干扰跨会话追踪,而不会破坏网站。Firefox 则提供了折衷方案,即 resistFingerprinting 设置。
无论你选择什么,养成一些好习惯总没错。避免安装大量不常见的浏览器扩展程序和自定义字体,因为每一个不寻常的选择都会增加浏览器的“熵”,让你显得与众不同,而不是融入人群。保持浏览器更新,确保你的版本与数百万其他用户保持一致,而不是与少数仍在使用旧版本的用户混为一谈。切勿手动修改某些设置,因为不匹配的信号比真实、常见的设置更容易被识别。我们的目标不是显得与众不同,而是显得平淡无奇。
| 防御 | 模型 | 停止指纹采集? | 对去中心化金融(DeFi)友好吗? |
|---|---|---|---|
| Tor浏览器 | 统一性(人人相同) | 强的 | 不,会破坏大多数应用程序 |
| 勇敢的 | 随机化(每次会话噪声) | 好的 | 是的 |
| Firefox(抗指纹识别) | 部分均匀性 | 缓和 | 大多 |
| 反检测浏览器 | 管理独立配置文件 | 因情况而异,信任风险 | 是的,谨慎行事。 |
| VPN/隐身模式 | 隐藏 IP 地址/清除 Cookie | 不 | 不适用 |
具体到加密货币领域,切实可行的做法是分离:为 KYC 交易保留一个强化浏览器配置文件,为链上活动保留另一个配置文件,并且永远不要让它们共享指纹。
浏览器指纹识别的结论
诚实地运行一次 AmIUnique,然后静待结果。如果你的浏览器是唯一的,那才是你真正的暴露风险,而不是假设性的结果。接下来,你需要根据威胁模型做出决定。如果你只是不喜欢广告追踪,可以切换到 Brave 浏览器,然后继续使用其他浏览器。但如果你是一位交易者,需要将 KYC 交易平台与私人钱包关联起来,则需要更严格的隔离,并且在信任任何闭源反检测工具之前都应该慎重考虑。一个令人不安的事实是,完美的在线匿名性大多只是一个神话。真正重要的问题不是你是否能够消失,而是你想对谁隐瞒,以及你的设置是否真的能够做到这一点。
