今年8月《黑神话:悟空》发售的时候,我大学室友阿凯坐不住了,阿凯现在是互联网公司的运营,常年出差,随身带的是一台14寸的轻薄本,显卡仅够应付日常办公,想跑3A大作根本不可能,升级台式机?花大几千换显卡放在家里吃灰,对常年出差的他来说太不划算,刷短视频的时候他刚好刷到推广:「一块钱就能玩4K满帧黑神话」,价格比大厂套餐便宜了三分之二,阿凯动心了,冲了50块钱时长就开玩,头三天玩得确实爽,他还跟我显摆省了好几千,结果一周后,他的Steam账号直接被盗——里面价值小一千的游戏,包括刚买的黑神话,都被骗子改了绑定,吃鸡账号还被拿去开外挂永久封禁,找客服申诉了半个多月才找回账号,损失还是找不回来,后来业内朋友告诉他,他用的小众云平台根本不做用户数据清零,退租后下一个租户打开电脑,就能直接用他留在上面的自动登录Steam账号,等于直接把账号送了出去。
其实不止阿凯,最近这半年因为黑神话带火云电脑,踩安全坑的用户不在少数,今天我就结合最新的行业动态,跟大家把云电脑的安全问题说透。
黑神话带火云电脑,安全问题开始凸显
《黑神话:悟空》的爆火,直接把国内云电脑行业推上了新的热度,根据百度指数2024年8月发布的行业数据,黑神话上线一周内,「云电脑玩3A」的搜索量同比上涨了432%,多个主流云平台新增用户环比上涨超过200%,不少平台临时加开了上万台虚拟服务器才应对住暴涨的需求。
云电脑早就不是只用来玩游戏的小众工具了:设计师出差带不动大型渲染,会用云电脑跑图;学生党买不起高性能电脑,会用云电脑跑专业设计软件;很多企业现在都改用云桌面办公,所有数据存在云端统一管理,用户越来越多,安全问题也就跟着浮出水面。
今年3月公安部网安局发布的《非法APP监测通报》里,专门点了云电脑行业的名,通报了17款存在窃取用户信息行为的非法云电脑APP,这些APP大多通过短视频引流、私域推广拉用户,主打「低价玩3A」,实际上在虚拟系统里预装了木马,用户只要输入账号密码、支付信息,就会自动上传到黑产后台,截止通报发出时,已经有超过120万用户受害,不少人丢了支付账号,损失几万块都没能追回。
可以说,云电脑现在已经走进了普通人的日常,但安全这回事,绝大多数用户都还没重视起来。
云电脑的安全风险,到底出在哪?
很多人不理解,不就是个远程用的电脑吗,怎么会有安全问题?其实云电脑的本质,是服务商把一台高性能物理服务器,切割成多个独立的虚拟桌面分给不同用户用,所有计算都在云端完成,用户只接收画面、传输操作指令,这种模式下,安全问题的根源其实分两种,一种是平台的问题,一种是用户自己的问题。
首先就是中小平台的逐利性,直接把用户安全放在了利润后面,正规大厂做云电脑,为了合规要投入大量安全成本:每个用户的虚拟桌面要做完全的逻辑隔离,避免一个用户越权访问另一个用户的数据;用户退租后要自动还原系统镜像,彻底清除所有缓存、文件、保存的密码;还要做多级加密、入侵检测、日志审计,拿到国家要求的等保三级认证(非银行机构能拿到的最高级安全认证)才能合规运营,但很多小平台为了省成本,一台物理服务器切出几十个虚拟桌面,隔离做的马马虎虎,甚至连自动还原都省了——就是为了少点还原时间,多租几个用户多赚钱,说白了就是拿用户的安全换利润。
更恶劣的是,不少打着云电脑幌子的平台,本身就是为了偷用户信息,他们收你几块钱一小时的租金,赚不了几个钱,偷来你的Steam账号、支付账号、个人信息转手卖给黑产,赚的比租金多几十倍,阿凯遇到的就是这种情况。
哪怕是正规平台,也存在不可忽视的风险,2024年初海外云服务商Azure就爆出过虚拟桌面隔离漏洞,黑客可以利用漏洞越权访问其他用户的桌面,虽然大厂很快修复了漏洞,但也说明没有任何一家平台能做到100%没有安全问题,而且云电脑所有操作都在服务商的服务器上,你的所有输入、所有数据都存在人家的服务器里,如果平台被黑客攻破,或者内部人员倒卖数据,你的隐私根本没办法保护,2023年底国内一家做企业云桌面的中小厂商就被黑客拖库,十万多家企业的办公数据、客户信息全部泄露,不少企业因此吃了罚单。
很多风险其实是用户自己的使用习惯造成的,我身边就有朋友,为了方便把云电脑当私人电脑用,所有账号都开自动登录,身份证、银行卡照片都存在云电脑桌面,用完直接关网页就走,根本不退出账号不删数据,不出事才怪,我自己去年就遇到过一次惊险的事:当时在外地出差,笔记本带不动4K素材剪辑,买了某大厂云电脑的一天套餐,剪完把工程文件存在D盘想着回头改,结果忘了,半个多月之后才想起来,登上去发现文件还好好的躺在那里,如果被下一个租这个节点的用户拿走,我这个未公开的项目就全漏了,从那之后我每次用完都一定要手动清数据。
大厂云电脑就100%安全吗?
很多人会说,那我不用小平台,只用大厂的云电脑是不是就没事了?其实也不是,大厂的安全保障确实比小平台好太多,但也做不到100%绝对安全,关键还是要看你怎么用。
首先可以明确的是,正规大厂的云电脑,安全风险已经低到足够满足普通用户的日常需求了,国内头部的云电脑平台,不管是阿里云、腾讯云这种云服务商做的,还是极云普惠、达龙云这种主打ToC的头部平台,基本都拿到了等保三级认证,安全合规是达标的,数据隔离、自动清零这些基础保障都做的很到位,而且大厂本身有品牌价值,不可能为了偷你那点信息砸自己的招牌,这点基本可以放心。
但大厂不是保险箱,我接触过很多用户,觉得用大厂就万事大吉,什么信息都往上放,这其实是大错特错,去年我们公司就出过一件事:一个同事出差,用个人买的大厂云电脑处理客户的隐私信息,结果刚好那个平台那段时间爆出了缓存漏洞,部分用户的数据被泄露,那个同事手上的客户信息也漏了,最后公司被罚了几十万,那个同事也被扣了半年绩效,得不偿失,哪怕大厂技术没问题,你自己把敏感信息放上去,本身就是有风险的。
我个人一直以来的观点是:云电脑本身是个好工具,是未来算力普及的大趋势,但它现在阶段的定位,就是给用户做临时算力补充的,不是给你当永久私人电脑用的,摆对这个定位,安全风险就降了一大半。
普通用户用云电脑,怎么避开安全坑?
说了这么多,很多人肯定会问:我偶尔想用云电脑玩个游戏、跑个渲染,到底怎么用才安全?结合我自己用了五六年云电脑,跟行业朋友聊出来的经验,给大家四个实打实的建议,照着做基本不会踩坑:
第一,永远只选正规可查的平台,绝对不要贪小便宜,凡是那种需要你跳转到第三方网站下载APK、靠私域或者不知名主播引流、价格比大厂便宜一半以上的,一律不要碰,90%都是有问题的,选平台先看两个东西:能不能在官方应用商店搜到,有没有公示的等保三级认证和ICP备案,这两个东西缺一个都不要用,一块钱一小时和三块钱一小时,差的两块钱就是你的安全成本,贪那点便宜丢了账号亏了钱,真的太不值。
第二,敏感操作永远不要放在云电脑上,什么是敏感操作?登网银、转钱、输入支付密码、存身份证银行卡照片、处理公司涉密文件、客户隐私信息,这些一概不要放在云电脑上,云电脑就是给你临时用的:想玩个带不动的3A,临时跑个渲染,用完就走,什么数据都不要留,不要把云电脑当自己的私人硬盘用,这点一定要记住。
第三,凡是需要登录的账号,一定要开二次验证,不管是Steam、微信还是游戏账号,只要能开手机令牌、短信二次验证的,全部打开,哪怕你的密码不小心留在云电脑上了,骗子没有你的二次验证也登不进去,相当于多了一道免费的保险,阿凯就是因为嫌开令牌麻烦才被盗号,要是开了根本出不了这事。
第四,用完一定要做三件事:清所有数据、退所有账号、关闭自动登录,别嫌麻烦,花一分钟就能做完的事,比你出了事花半个月找账号划算多了,哪怕平台说会自动清零,你自己手动检查一遍也没坏处,毕竟数据是自己的,安全一定要握在自己手里。
写在最后
其实我个人一直很看好云电脑的未来,随着5G和AI的发展,以后算力一定会越来越多的放在云上,普通人只需要一块屏幕就能用到顶级算力,这是肯定的大趋势,但现在行业还在发展初期,监管和规范都还在完善,安全问题确实不可忽视。
云电脑既不是洪水猛兽,也不是绝对安全的神器,它就是一个工具,会不会出事,从来都不是工具本身的问题,而是看你怎么选、怎么用,只要你选对正规平台,摆对它临时工具的定位,养成好的使用习惯,完全可以放心享受它带来的便利,不用因为怕安全问题就不敢用,也绝对不要掉以轻心什么都往上放,把握好这个度,就不会有问题。