啁啾哨音

2022-08-26

A version of this article appears on Aug. 26, 2022 as a member article for SSPAI. Learn more or subscribe

本周,一阵尖锐的哨声回响在美国的科技行业。8 月 23 日,《华盛顿邮报》和 CNN 同时发布报道称,获得了推特前安全总监、著名黑客 Peiter Zatko(更常用的称呼是网名 Mudge)上月向美国政府提交的举报文件,这些文件对推特在维护安全和隐私、统计骚扰和虚假账户方面的问题提出了严厉指控。

由于 Mudge 揭露的部分问题确实有些令人大跌眼镜,加上推特本来就已经处于舆论的风口浪尖,这次指控引起了很大关注。

考虑到事件披露不久、还在继续发展,现有中文报道也以较为机械的翻译搬运1为主,我们这里先以问答的形式解释一些读者可能关心的问题,以便读者更好地了解事件背景,有针对性地关注后续发展。

提出了那些指控?

根据报道,媒体获得了 Mudge 提交的三份文件:

  • 一封举报信
  • 一份 Mudge 在被辞退后,应推特要求提供的反对意见陈述;以及
  • 一份 Mudge 在任期间,委托外部机构调查推特应对虚假信息能力的评估报告

其中,最主要的文件是那封举报信,这封信同时投送美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和司法部(DOJ);而其投诉的问题,也分别对应这三个部门的监管范围:

  • 就 FTC 管辖的商业方面,举报推特对其存在的安全、隐私和诚信等问题做出虚假和误导的说明,违反了此前在 FTC 同意令2中的承诺。例如,推特大量内部数据集中,只有两成登记在册并受管理;将个人身份信息、cookies 挪用于营销目的;五十万台服务器中,过半系统不符合安全规范;三成办公电脑禁用了安全更新,对员工移动设备没有监管;缺少访问控制,半数以上员工有权访问生产环境和其中的用户数据;等等。
  • 就 SEC 管辖的证券方面,举报推特违反了上市公司的内控、审计和申报等要求,对董事会和投资者存在欺诈和重大不实陈述。例如,高管阻拦 Mudge 向董事会汇报推特存在安全问题,并故意提交内容不准确的安全报告。
  • 就 DOJ 管辖的司法方面,举报推特忽视和屈服于外国对推特平台、员工和运营的「渗透、控制、入侵、监控、审查」。例如,至少一名推特员工在为外国情报机构工作;印度政府强迫推特雇佣指定的政府代表,有权访问敏感数据。

应该说,Mudge 这些指控是相当严厉的,抽出一条被证实,都会给推特带来不少法律、经济和商誉上的不利影响。

举报者是什么来历、可信程度有多高?

举报发出后,推特方面做出了比较强硬的回应。公司发言人和首席执行官 Parag Agrawal 先后主张 Mudge 的投诉是不准确、自相矛盾的,目的是哗众取宠;并称 Mudge 今年一月去职是因为「领导不力、表现不佳」,暗示他心怀不满、有意报复。

对此,大多舆论并不买账。原因在于,Mudge 是一位在信息安全领域经验丰富、成果卓著的人物:出身少年黑客;是早期黑客组织骨干,曾就信安问题向国会作证;职业生涯之初即为政府外包网络基建,后又依次创立咨询公司、供职五角大楼、摩托罗拉、谷歌、Stripe;直到推特前 CEO Jack Dorsey 于 2020 年将其招募。

如技术社区不少评论所说,Mudge 知道「举报」的分量,不是会轻易找茬挑衅的菜鸟,推特试图对其嗤之以鼻的公关口径是不明智的。何况,Mudge 已经功成名就,没有必要拿自己的名声来炒作。

但也有评论描绘出故事可能的另一面:Mudge 过于执着于黑客文化中的理想主义和无拘无束,在推特这样的商业公司中感到格格不入、郁不得志,最终愤而离开、反手举报。根据独立科技记者 Casey Newton 的报道(有付费墙),有的推特员工也觉得 Mudge 反应过激了,「仿佛才发现自己的雇主是一家营利性质的公司」。

仔细推敲 Mudge 的举报材料,也能发现不少或许不符合原教旨的信息安全,但却是商业和政治现实所需的「指控」。例如,所谓的「雇佣印度政府派员」,就被很多评论指出其实只是在根据印度新规要求,指定常驻当地的合规联络人。这虽然也可能成为一个施压杠杆,但和 Mudge 的说法在性质上就有很大差异了。又如,Mudge 抱怨推特高管「比起抑制骚扰账户,更有动机增加日活用户」。这当然不高尚,但好像也可以用来形容几乎任何一家靠广告创收的商业网站。

而更激烈的批评则来自于前推特工程师 Ian Brown,他声称是 Mudge 自己降低了系统更新、数据加密等措施的优先级,甚至还有一次要求下属将内部系统信息发送给公司外部自己的搭档。

我没有资格评判这些当事人才知情的事实,但仅就从阅读材料的印象看,我倾向于相信真实的情况可能是上述两个版本某种比例的混合。Mudge 可能确实是出于纯粹和主持「正义」的动机发起的举报,但这并不代表他的主张就是全然客观、未受个人际遇影响,或者事实与罪名相符的。类似的情况,古今中外都不少见。

对马斯克与推特的收购争议有何影响?

这可能是 Mudge 此次举报最受人关注之处,同时也是被人疏忽误读或有意误导最多之处。毕竟,举报文件的第二节就叫「向马斯克谎报机器人账户数量」,而举报内容也几乎立刻被马斯克和他的法律团队拿去说事。

先说结论:Mudge 关于推特骚扰/虚假账户的指控对马斯克的舆论造势是有利的,但对于马斯克从推特收购中脱身的法律论述并无太大意义,甚至反而无意中攻陷了马斯克的一些法律主张。

关于马斯克收购推特的前因后果,我之前曾经花过很长篇幅介绍过,在此不赘述。那篇文章之后……又发生了一点变故:马斯克在成交后不久就反悔3,5 月 13 日发推宣布「暂停」交易,以便「调查推特的骚扰/虚假账户比例是否确实低于用户数的 5%」。经过几个来回的嘴仗,终于在 7 月 8 日正式提交文件,宣布终止收购。推特不满,起诉马斯克要求其继续履约。双方进而就开庭时间和取证范围进行了一番来回拉锯,向对方亲友团互送了大把传票……好吧,不止一点变故。

为了甩掉推特,马斯克的律师找出了三个理由,通俗版本是:(i) 推特撒谎了,(ii) 推特没有提供马斯克索要的信息;以及 (iii) 推特在达成协议后随便炒人,违反了继续正常经营的承诺。

与 Mudge 举报相关的只有第一项理由。首先需要明确,收购协议中,推特并没有在任何一处保证骚扰/虚假账户的比例是多少,只保证它提供的各项信息是真实准确的,其中就包括此前提交的一份季报。这份季报估计,平台上骚扰/虚假账户4占「可创收日活用户」(mDAU)的比例低于 5%。

这就是被马斯克反复拿来说事的「5%」的来源。但魔鬼在于细节:在马斯克的公开发言中,这个 5% 的分母从来都只是「用户」,而推特的季报中,5% 的分母却是「可创收日活用户」。

什么是「可创收日活用户」?这是推特自己鸡贼发明出来的一个概念,指的是可以向其展示广告的单日内活跃用户。当你看到互联网公司发明概念,就知道目的在于抢占定义权。正如 Mudge 自己在信中所说,有了这样一个「私有的、不透明的指标」,推特就可以「报告出让股东和广告商放心的数字」。

好了,如果你是推特高管,你希不希望在可创收日活用户里掺水一些机器人?表面上,这似乎可以让数字更庞大、广告更好卖。但广告客户会自己计算投放效果,如果发现转化率很低,推特就砸了自己的牌子。因此长远计议,推特其实更愿意报告一个准确、不注水的可创收日活用户数。根据 Mudge 的说法,这正是高管的选择。这等于直接反驳了马斯克团队的主张——推特故意在可创收日活用户中计入机器人账户。

更何况,根据很多专业人士的分析,马斯克团队的第一项借口,实际上是三条中最弱的一项。因为根据合同,对方只是「撒谎」(术语叫「虚假陈述」)并不是分手的理由,还必须撒谎到产生「重大不利影响」的程度。这是一个缺乏明确界定,但又异常难以达到的标准。有多难达到?打官司所在的特拉华法院,历史上只批准过一次以此为由的分手。

需要指出,以上分析的前提假定是推特一案继续通过诉讼方式解决。在现实中,另一种发生可能不低的结局是,推特和马斯克在庭外私下和解5。在这种情况下,法律层面的技术细节就没那么重要了,马斯克的舆论主张可能就会为他的谈判带来一些优势,而如今半路杀出的举报信更会起到助攻作用。

后续会发生什么?

新闻发出次日,美国参议院司法委员会宣布将会于 9 月 13 日举行听证会,由 Mudge 出席就其指控作证。参议院还宣布「根据需要采取进一步措施」查明真相。另有数名参议员致函 FTC 和司法部呼吁开展调查。

马斯克当然也不会闲着。在周三举行的一场与证据开示范围相关的庭审上,马斯克的律师已经用上了 Mudge 助攻的「弹药」,以支撑该方让推特提供关于骚扰、机器人账号更多资料的主张。不过,法官在周四驳回了马斯克的大部分补充数据的请求,认为推特提供的信息已经足够广泛,只要求其补充提供当初统计骚扰账户占可创收日活用户比例时,采集的九千条样本数据。(正式审判经过之前一番拉扯,目前推迟到十月举行。)

总之,Mudge 的哨声已经引发了回响,但会带来多少实际后果,还要等待上述听证、审判结束后才能下结论。但只有一点是不用预测的,那就是不管谁赢,用户已经输了。


  1. 每一位把这条新闻里的「spam」翻译为「垃圾邮件」的媒体朋友——机翻或者复制粘贴是可以的,但粘贴完请看看上下文,不然真的挺丢脸的。 ↩︎

  2. 同意令(consent order)是 FTC 常用的一种执法手段,被调查的公司以遵守对 FTC 的一些承诺(有时还包括罚款)为交换,换取 FTC 停止进一步的调查和执法行动。如果违反同意令,则会受到高额罚款等进一步的处罚。 ↩︎

  3. 普遍认为其主要动机是市场很快变得不景气,推特股价大幅下跌,同样下跌的还有他用来抵押贷款的特斯拉股票。 ↩︎

  4. 根据推特的平台政策可知,所谓骚扰(spam)账户,是指重复发送雷同内容,重复执行关注、转发、点赞等互动操作的账户,这些账户通常是出于商业动机,通过机器自动注册和操纵的;所谓虚假(fake)账户,是指出于欺骗他人动机,冒名或虚构身份创建的账户。 ↩︎

  5. 一般动机是避免长期诉讼的成本、避免商业秘密和闭门谈判成为呈堂证供。 ↩︎