BrowserLeaks：测试您的浏览器指纹和隐私

发表于 Jun 10, 2026 作者 Mathis Curcio

VPN 可以隐藏你的IP 地址，仅此而已。你现在用来阅读这篇文章的浏览器仍然会收集你访问的每个网站的其他详细信息：你的屏幕尺寸、显卡型号、电脑上安装的具体字体，以及处理器绘制隐藏图像的方式等等。这些信息组合起来，就构成了一个浏览器指纹，即使你的 IP 地址不断变化，这个指纹也能追踪你访问的网站。

BrowserLeaks 是一款免费的浏览器测试工具，它能让你清楚地看到自己泄露了哪些信息。它会运行二十多项独立的测试，无需注册账号，也不会存储任何数据。本指南将详细解释每项测试的含义，教你如何冷静地解读测试结果，以及如何真正弥补漏洞。此外，大多数加密货币用户都忽略了一个关键点：至少在一个有记录的案例中，大家推荐的“修复方案”反而成了掏空用户钱包的罪魁祸首。

什么是 BrowserLeaks 以及它为何重要

BrowserLeaks 不是一款隐私保护产品。它不会隐藏任何内容，不会阻止任何内容，也不会向您推销订阅服务。它是一款诊断工具，相当于您自身网络环境的镜像。您只需打开 browserleaks.com，点击浏览一系列测试页面，该网站就会将您浏览器刚刚主动传输的原始数据反馈给您。

这种呈现方式之所以重要，是因为 BrowserLeaks 刻意省略了评分。没有通过或失败，没有绿色对勾，也没有“您的隐私评分是 87 分（满分 100 分）”之类的结果。有些人觉得这样令人沮丧。但我认为这才是诚实的做法。一个简单的数字会将复杂的情况简化成一个结论，而这里的情况确实很复杂。该工具会显示您的真实 IP 地址、WebRTC 结果、Canvas 哈希值、DNS 解析器，并将解读留给您自己。

该网站多年来一直采用相同的模式：免费、基于浏览器、无需安装、实时显示结果。与其说它是一个仪表盘，不如说它是一个独立测试页面的索引。每个页面都隔离一个泄露途径，让您可以清楚地看到是哪个环节暴露了您的隐私。对于那些想要了解自身环境而非轻信营销宣传的用户来说，这种透明度正是其进行诚实隐私测试的价值所在。

浏览器指纹识别技术的工作原理

指纹并非 Cookie。Cookie 是网站存储在您设备上的文件，您可以将其删除。而指纹则是由浏览器在被询问时自动披露的信息构成，由于没有存储任何内容，因此无需删除。这就是为什么即使在隐身模式、清除缓存和重新连接 VPN 后，指纹仍然有效的原因。

指纹是如何组装的

没有哪个单一信号可以识别你的身份。你的屏幕分辨率与数百万人相同，浏览器版本、时区和语言也是如此。诀窍在于组合。网站会读取你的画布渲染、WebGL渲染器字符串、已安装的字体、用户代理、屏幕分辨率以及十几个其他属性（所有这些都通过普通的JavaScript API获取），然后将它们哈希处理成一个标识符。每个信号单独来看都毫无用处，但它们组合在一起往往能提供唯一的身份信息。

为什么它能在 VPN 和隐身模式下正常运行

VPN 只会改变一个属性：IP 地址。设备指纹是由设备和浏览器构建的，而不是网络。切换到隐私窗口后，同样的硬件绘制相同的画布图像，报告相同的 GPU，列出相同的字体。IP 地址变了，其他一切都保持不变。这就是人们误以为 VPN 等同于匿名时所陷入的误区。

它到底有多常见？

这里的数据比你预想的要老旧，也比你希望的要糟糕。电子前沿基金会 (EFF) 的Panopticlick 实验测试了大约 50 万个浏览器，发现其中 84% 的浏览器带有独特的指纹；启用 Flash 或 Java 后，这一比例上升到 94% 以上。指纹识别技术此后迅速普及。加州大学圣地亚哥分校 2025 年的一项测量研究发现，在排名前 2 万的网站中，有 12.7% 的网站部署了 Canvas 指纹识别技术。2025 年在 ACM 网络大会上发表的一项名为FPTrace的研究表明，更改指纹可以将下游跟踪链从 36,446 个减少到 6,345 个，降幅高达 83%，这证明该技术已直接应用于实时广告定向，即使在用户根据 GDPR 选择退出后，它仍然有效。使用 BrowserLeaks 测试你自己的系统是查看你当前正在广播哪些信号的快速方法之一。

BrowserLeaks 主要测试逐一进行

这就是您最想了解的部分。BrowserLeaks 将检查项目分组到不同的页面中，每个指纹识别测试都会隔离一个信号。以下是主要检查项目揭示的内容以及问题在屏幕上的实际表现。

测试	它揭露了什么	危险信号看起来像
IP地址	公网IP地址、国家/地区、城市、互联网服务提供商 (ISP)、自治系统编号 (ASN)	您的家乡国家/地区显示为您所在国家/地区，而 VPN 则显示为另一个国家/地区。
WebRTC	即使通过 VPN，也能通过 STUN 获取真实 IP 地址。	第二个与您的真实位置匹配的 IP 地址
Canvas / WebGL	GPU、驱动程序、渲染哈希	几乎无人认同的“独特”评价
DNS	哪些服务器可以解析您的域名？	使用的是您的网络服务提供商 (ISP) 的解析器，而不是 VPN 的解析器。
字体/标题/TLS	系统字体、用户代理、密码套件	一份只能在特定机器上使用的字体列表

IP地址和地理位置

最简单的页面，也是首先要检查的页面。它会显示你的公网 IP 地址以及与之关联的地理位置和 ISP。开启 VPN 后运行此页面。如果显示的国家/地区、城市或 ISP 仍然指向你的母网，说明你的 VPN 路由设置与预期不符。

WebRTC泄漏测试

WebRTC 是浏览器视频通话功能的核心，也是该网站上最著名的安全漏洞。为了建立连接，浏览器会向 STUN 服务器询问“我的真实地址是什么？”，而该服务器的回答可能会暴露你的真实 IP 地址，即使 VPN 处于激活状态。即使你使用了完全隧道技术，仍然可能出现安全漏洞。如果 WebRTC 安全漏洞测试显示的 IP 地址与你的真实位置相符，那么这就是需要首先修复的安全漏洞。

Canvas、WebGL 和音频指纹

这些纯粹是指纹识别，而非网络泄漏。Canvas 指纹测试会要求您的浏览器绘制一张隐藏图像，并对结果进行哈希运算；您的 GPU、驱动程序和操作系统上的细微差异会导致哈希值独一无二。WebGL 使用 3D 渲染进行同样的操作，并通过名称暴露您的显卡信息。音频测试则会分析您的硬件如何处理声音。这些测试都不会泄露您的 IP 地址，但它们共同构建了一个标识符，该标识符会跟踪您在不同网站之间的活动。

DNS泄漏测试

即使 VPN 正常工作，您的浏览器仍可能将域名查询发送到您的互联网服务提供商 (ISP) 的服务器，而不是通过 VPN 隧道。这意味着您的 ISP 以及任何监视它的人仍然可以看到您访问的每个网站的名称。这些 DNS 泄漏很容易被忽略。DNS 泄漏测试会列出哪些 DNS 服务器响应了您的查询。如果您在列表中看到您的 ISP，则说明流量正在绕过 VPN 隧道。

字体、标题、客户端提示和 TLS

一些较为隐蔽的测试完善了整个系统信息。字体页面会列出系统上安装的所有字体，这本身就是一个相当可靠的识别信息。HTTP 标头和客户端提示会暴露您的用户代理、语言和设备类别。SSL/TLS 页面会读取您连接的密码套件和握手信息（JA3 和 JA4 签名），无论您的浏览器声称是什么，这些信息都能在网络层识别出您的身份。

浏览器泄漏

如何解读浏览器隐私设置结果

这里有一个规则，它颠覆了大多数人初次打开 BrowserLeaks 时的直觉：独特的指纹固然不好，但不一致的指纹更糟糕。追踪器和反欺诈系统并非只寻找罕见值，它们还会寻找那些看似毫无意义的组合。

由于 BrowserLeaks 不提供通过或失败的判断，您必须清楚自己要扫描的内容。最明显的警告信号是各种不匹配的情况。例如，时区设置为纽约，而您的 IP 地址却显示为法兰克福；浏览器语言设置为越南语，而 IP 地址地理位置却在巴西；GPU 字符串显示为“VMware”、“VirtualBox”或“Microsoft Basic Render Driver”，表明您正在使用虚拟机；WebRTC 下显示的是真实 IP 地址，而您的 VPN 却显示您位于其他地方；同时显示公网 IP 和本地 IP。

任何一项都会让网站觉得你提供的信息前后矛盾，而前后不一致的身份信息往往比正常的身份信息更容易引起怀疑。因此，在查看浏览器隐私设置结果时，不要追求根本不存在的完美分数。首先要检查各项信息是否一致，然后计算一下你究竟泄露了多少数据。

使用 VPN、代理或 Tor 修复浏览器泄漏

修复方法有其层级，而大多数“终极指南”所推荐的并非真实情况，因为它们大多是为了推销产品。在使用任何工具之前，请先运行 BrowserLeaks 测试，以便了解您实际遇到的漏洞。以下是直白的对比。

方法	有助于	局限性
防泄漏 VPN	IP地址、地理位置	对画布、字体、WebGL 没有影响
禁用 WebRTC	真实IP泄露	缺少 WebRTC API 本身就是一件不寻常的事情。
住宅代理	一个看起来很普通的IP地址	设置错误导致 DNS 和 WebRTC 泄漏。
Tor浏览器	IP和指纹信息一起	速度慢；部分网站会屏蔽它

VPN、代理和WebRTC问题

使用 VPN 或代理是显而易见的第一步，但这只能解决部分问题。内置泄漏保护的 VPN 可以修复 IP 和地理位置页面。在浏览器设置中禁用 WebRTC 可以阻止真实 IP 地址的泄露。通过住宅代理路由可以让你的地址看起来像普通的家庭连接，而不是数据中心，这也是代理提供商大力向拥有多个账户的用户推销的原因。但是，只有当代理将所有流量（包括 DNS）都通过同一隧道传输时，它才能发挥作用。如果代理只处理 HTTP 流量，或者使用绕过 HTTP 的扩展程序，就会重新打开你试图关闭的那些泄漏点。

为什么欺骗行为通常会适得其反

这就是市场营销和研究分道扬镳的地方。随机伪造浏览器画布、字体或用户代理看似是一种保护措施，但实际上往往会让你更容易被识别，而不是更不容易被识别，因为每次访问都报告新随机指纹的浏览器本身就是一种罕见且可疑的模式。2025 年 ACM 网络大会的一项研究测试了 18 款流行的反指纹识别扩展程序，结果全部被破解；只有 Tor 浏览器成功抵御了攻击。另一项 2025 年 10 月的分析发现，Chrome 最容易泄露 WebRTC IP 地址，而 Tor 在所有测试平台上均未泄露任何 IP 地址。

究竟是什么降低了你的指纹识别能力？

真正有效的策略与欺骗截然相反：它们让你看起来和其他人一样。Tor 浏览器通过设计为每个用户提供几乎相同的“指纹”，让你融入人群。强化版的 Firefox 和 Brave 浏览器从源头上减少了暴露的信息；Brave 浏览器在 2025 年 9 月的月活跃用户数达到了 1.01 亿，但这与 Chrome 浏览器约 68% 的全球市场份额相比仍然微不足道。减少浏览器扩展程序的数量也有帮助，因为每个扩展程序都会增加可检测的特征。Tor 浏览器拥有约 250 万日活跃用户——虽然数量不多，但它是唯一一款能够始终通过其他所有工具都无法通过的测试的工具。

加密货币、反检测浏览器和您的隐私

加密货币用户比大多数人更关心这个问题，而这恰恰是评论网站往往忽略的角度。如果您管理多个钱包或交易所账户，共享的浏览器指纹加上共享的 IP 地址就能悄无声息地将它们关联起来。链上分析公司已经能够对链上行为进行聚类分析；如果再将这种聚类分析与一致的设备指纹关联起来，那么您“匿名”地址之间的界限就会开始瓦解。在这种情况下，人们会求助于反检测浏览器，这类工具可以创建独立的浏览器配置文件，每个配置文件都有自己的指纹和代理，然后使用 BrowserLeaks 对这些配置文件进行测试，以确认身份掩蔽的有效性。

这合情合理。但盲目信任反检测浏览器就不合理了，因为那些被当作解决方案出售的工具，过往的记录显示它们本身就是威胁。2025年1月，安全公司SlowMist分析了一起针对指纹浏览器供应商的供应链攻击，该攻击导致约3万名加密货币用户在72小时内损失了约410万美元。2023年早些时候发生的另一起事件影响了3000多个钱包地址，损失金额超过41万美元。这款号称匿名的软件，实际上却在后台泄露了密钥。

这并不意味着你应该完全避免使用这些工具。但是，反检测浏览器毕竟是能够完全访问你会话的软件，因此它理应像任何钱包一样受到严格审查。将其隔离，验证供应商，并且永远不要以为通过 BrowserLeaks 的测试就意味着你的资金安全无虞。隐私和安全并非同一问题，一款工具可能在隐私方面表现出色，但在安全方面却表现不佳。

定期运行 BrowserLeaks，而不仅仅是运行一次。

隐私并非一劳永逸的设置。每次更换 VPN 服务器、添加扩展程序、更新浏览器或创建新配置文件时，您的隐私痕迹都会发生变化，新的安全漏洞就可能出现。BrowserLeaks 的优势在于，您可以免费进行隐私检查。

因此，实用的习惯很简单：每次更改后都运行 BrowserLeaks。目标并非完全隐身（这几乎不可能），而是确保你的信息前后一致，并且尽可能少地泄露信息。你的浏览器现在透露了哪些信息？这些信息经得起进一步审查吗？

Mathis Curcio

Mathis Curcio is a senior content strategist and NFT specialist at Plisio. With over 5 years of experience in the Web3 space, Mathis focuses on the evolution of NFT ecosystems, digital collectibles, and decentralized ownership models. He creates accessible, insight-driven content that bridges the gap between blockchain innovation and mainstream adoption. His expertise spans NFT market trends, use cases across art and gaming, and the infrastructure powering next-generation tokenized assets.