你戴着智能眼罩睡觉,陌生人在看你的脑电波——还能给你放电

📄 View Markdown source

Cover

你戴着智能眼罩睡觉,陌生人在看你的脑电波——还能给你放电

如果我告诉你,有人能在你睡觉时,实时读取你的脑电波,判断你是在做梦还是在深睡——然后给你的眼睛周围发一阵电流。
>
你会不会觉得这是恐怖片的剧情?
不是。这是2026年2月12日,一个真实发生的事情。

一位开发者在众筹平台Kickstarter上买了一款来自中国的智能睡眠眼罩。本来只是想改善睡眠质量,结果他发现:这款眼罩把所有用户的脑电波数据,通过一个完全不设防的服务器,向全世界公开广播。

而且,任何人不仅能看到你的脑电波——还能反向给你发送电脉冲。

在你睡着的时候。

全网炸了。这篇文章在Hacker News上获得了超过260个点赞,123条讨论。有人震惊,有人愤怒,更多人开始检查自己床头那些"智能设备"。

---

🔥 Part 1: 这款眼罩到底有多"智能"?

先说说这款眼罩本身。硬件确实很牛——

简单说,这不是一个普通的遮光眼罩。这是一台戴在你脸上的微型电脑,实时监控你的大脑活动、呼吸、体动,还能反过来给你施加电刺激。

听起来很酷对吧?

问题是,这台"微型电脑"连最基本的安全措施都没有。

---

🧠 Part 2: 一个开发者是怎么发现问题的?

故事的主角叫Aimilios,是一位软件开发者。他买了这款眼罩后,发现官方App不太好用,经常断连。于是他决定自己动手,用AI工具Claude来逆向工程这款眼罩的通信协议。

第一步:蓝牙抓包。

Claude扫描了蓝牙设备,找到了眼罩,连上了——发现两个数据通道:一个发命令,一个收数据。但发了上百种命令格式,设备都不搭理。协议不是标准的。

第二步:反编译App。
这一步就像是撬开一个上了锁的抽屉——结果发现抽屉底下藏着房子的钥匙。

Claude把安卓APK拆开来看。这个App是用Flutter框架开发的——Flutter会把源代码编译成机器码,正常情况下很难读懂。但Claude用一个叫blutter的专用工具,把编译后的代码还原出了可读的注释。

在9MB的二进制文件里,Claude找到了几样关键的东西:

1. 硬编码的服务器登录凭证——所有用户共用同一套用户名密码

2. 云端API接口地址

3. 15个控制指令的完整格式:振动、加热、电刺激,全部映射完毕

想象一下:一栋公寓楼的所有房间,用的是同一把钥匙。你有钥匙,就能进任何一间房。

---

😱 Part 3: 陌生人的脑电波,就这样被看到了

有了那套硬编码的凭证,Claude连上了厂商的MQTT消息服务器。

MQTT是什么?
你可以把它想象成一个广播电台系统。每个设备是一个电台,不断地"广播"自己的数据。任何知道频道号的人,都能收听。

问题来了:这个"广播系统"完全没有访问控制。

连上去之后,数据就哗哗地涌过来了。不只是Aimilios自己的眼罩——大约25台设备正在活跃地广播数据:

Claude捕获了两台眼罩的脑电波数据,分析后发现:

真实的人,在世界的某个角落,正在睡觉。他们的大脑活动被完整地暴露给了互联网上的任何人。

他们对此一无所知。

---

⚡ Part 4: 最恐怖的部分——不只是能"看"

如果只是数据泄露,已经够严重了。

但这款眼罩还支持EMS——电肌肉刺激。控制它就是一条指令:模式、频率、强度、持续时间。

因为所有设备共用同一套凭证、同一个服务器——如果你能读到某人的脑电波,你也能给他们发送电脉冲。

在他们睡着的时候。

让这句话沉一沉。

一个完全陌生的人,可以在地球另一端,在你深度睡眠的时候,通过一个25美元的众筹眼罩,向你的眼睛周围发送电流。

这不是科幻小说。这是现实。

---

🔍 Part 5: 这不是个例——IoT安全是一场灾难

你可能在想:这就是一个小厂的产品,大品牌不会这样吧?

事实比你想的严重得多。

这款眼罩暴露出的问题,在物联网(IoT)行业中极其常见:

问题一:硬编码凭证。

所有设备共用一套密码,就像所有住户共用一把钥匙。这在IoT产品中出现的频率高得惊人。2023年的一份OWASP IoT安全报告将"弱/硬编码密码"列为IoT十大安全风险的第一位(来源:OWASP IoT Top 10)。

问题二:没有访问控制。

任何人只要连上服务器,就能看到所有设备的数据。没有设备隔离,没有用户认证。这相当于医院把所有病人的病历放在大厅里,谁来都能翻。

问题三:数据不加密。

脑电波数据以明文形式传输。中间任何一环被截获,你的大脑活动就完全暴露。

一位Hacker News评论者精准地总结了这种现象:
>
"Kickstarter上充斥着这类项目——他们走每一条可能的捷径来推向市场。"

另一位评论者补充了更深层的问题:现在有了AI编程工具,很多创业者觉得软件开发"基本免费"了。他们用AI"对话式编程"到产品"看起来能用"就发布——但完全不理解底层发生了什么。

"他们反复提示AI,直到产品看起来能用,然后就发货了。"

这不是AI的问题——这是人的问题。 工具再强大,如果使用者不具备判断力,产出的东西可能比没有还危险。

---

🧭 Part 6: 你的床头,还安全吗?

让我们回到你自己。

看看你的卧室——有没有这些东西?

每一台都是一台联网的小电脑。每一台都在收集数据。每一台的安全性,你都没有能力验证。

Andrej Karpathy(前特斯拉AI总监、OpenAI创始团队成员)曾专门写过一篇关于"数字卫生"的文章,建议人们重新审视自己与智能设备的关系。这篇眼罩文章的作者在结尾也特别引用了它。

Karpathy的核心观点是:你给了设备多少权限,你就有多少风险。

这不是让你把所有智能设备都扔了。而是提醒你:

1. 知道自己在用什么。 那个App要了哪些权限?数据传到哪里?

2. 小品牌更要小心。 大公司至少有安全团队,Kickstarter上的小团队可能连专业后端工程师都没有。

3. 睡眠、健康类设备尤其敏感。 脑电波、心率、呼吸——这些是你最私密的生物数据。

4. 定期检查设备固件更新。 很多安全漏洞是通过更新修复的。

---

📊 数据总结

| 关键数据 | 数值 | 来源 |

|---------|------|------|

| 被发现正在广播数据的活跃设备数 | ~25台 | 原文作者实测 |

| 眼罩EEG采样率 | 250Hz | 原文作者逆向工程 |

| 传感器通道数 | 8个 | 原文作者逆向工程 |

| IoT安全第一大风险 | 弱/硬编码密码 | OWASP IoT Top 10 |

| 全球IoT设备预计数量(2025年) | 约187亿台 | Statista |

| Hacker News讨论热度 | 262+赞,123+评论 | Hacker News |

---

写在最后

我们正生活在一个悖论里:

我们追求更聪明的设备来改善生活——更好的睡眠、更健康的身体、更舒适的家。

但每一台"聪明"的设备,都是一扇我们主动打开的窗户。我们不知道谁在窗外看着。

这位开发者做了一件负责任的事——他没有公开产品名称,而是先联系了厂商。但下一个发现这种漏洞的人,未必会这么善良。

今晚睡觉前,你可能想看看,你枕边的那些"智能设备",到底有多"智能"。

---

*你怎么看?你会因为安全问题放弃智能设备吗?评论区聊聊。*

---

参考来源:

1. Aimilios, "My smart sleep mask broadcasts users' brainwaves to an open MQTT broker", 2026年2月12日

2. Hacker News 讨论串, item #47015294

3. OWASP IoT Top 10 安全风险清单

4. Andrej Karpathy, "Digital Hygiene"

5. Statista, 全球IoT设备数量统计