写点没用的东西,不引起争议。

我本业是做IT吉祥物,就像重庆崽儿花露水的本业是读金庸一样。若不是迫于形势,谁会在神学翻译的泥潭里挣扎呢?

有的时候,有朋友会问我网络安全的事情。大体上,他们希望知道如何才能保护自己的安全。

但是,单纯的保护安全是个“伪问题”,最近看到一个关于人工智能的笑话,简单复述如下:
一个实验室研究一台AI的狼,打算用深度神经网络加以训练。他们设定了狼的位置和方向,羊的位置和方向,狼的奔跑和转向速度,羊的奔跑和跳跃速度,以及体力,耐力等参数。下面是训练的目标函数:狼的初始分数是10分。如果抓住了羊,就奖励10分;如果撞到障碍物,就扣0.1分;每延缓1秒钟抓住羊,也要相应地扣分……
**一个完美的模型。**迭代了200万次之后,实验室的计算机科学家们发现,狼越来越笨,常常启动就撞上石头或掉下悬崖,完全无法抓住羊。

经过仔细分析才发现,原来是目标函数和惩罚参数不匹配,狼觉得无论如何努力也抓不到羊,最终分数会被扣完;于是,狼的最佳策略就进化为尽快自杀,以保住现有的10分——其他所有策略的最终得分都比自杀要低,甚至会低到0分。

最近这个模型在讨论996福报,三和大神,计划生育与人口等问题上,发挥了很好的效果,完全可以直接用在宏观政治学和经济学上,真是一个杰出的模型。


说到网络安全问题是个伪问题,因为单纯谈安全而不讨论易用性,是没有任何意义的。最安全的网络安全策略就是物理隔绝,完全不使用网络。这显然是一种错误的目标函数。

教会也一样。一个为了安全而在主日闭门的教会,自然不会引发任何问题,但也不能成就教会的功能和使命。所以,在讨论安全的时候,需要同时讨论易用性。

我曾经做过一次简单的网络安全工作坊。但主要的问题甚至不在于技术,而在于人,或者说在于个体的使用习惯和心理学(不要误会——我在标准的语境下使用“心理学”这个术语,与任何“辅导”都无关)。

比如,马太效应,赢家通吃,同伴压力,社交媒体的吸引和上瘾,以及不同亚文化群体使用某种社交通讯软件的自然隔离等等,都会影响到我们的网络安全习惯。

安全而易用的技术和规范是有的,不过很少有人能遵守,说了也是白说。几个小问题:

  • 操作系统和流氓软件:你使用了什么操作系统,安装了哪些软件,安全吗?
  • 浏览器:你使用什么浏览器上网?
  • 电子邮箱:你的电子邮件服务器在哪里?安全吗?
  • 即时通讯软件:你用什么通讯软件和朋友联系?
  • vpn:是可以了解这个世界正在发生什么事情吗?
  • 输入法:你输入的每一个字(包括删除或修改),都在我们的云端服务器上以明文传输和保存……
  • 数据的加密和存储:欢迎来到云上贵州或百度网盘……
  • 社交媒体和(别人的)隐私:你今天晒娃了吗?
  • 你的安全规范是什么?你会遵守吗?怎样说服奶奶或外婆不在微信上随意发各种带有详细介绍的、配了音乐的全家福?
  • 你用的什么手机吗?什么操作系统?

可以用作自测。

如果你没有考虑过上述问题,并建立一个明确遵守的规范,你的计算机/手机网络安全大概会有些隐患。在这种情况下,只有两种办法:

  1. 我行事磊落,光明正大。所以不惧怕任何人窥探我的数据,邮件,照片和隐私。但和你通信的朋友同样失去了安全的选择,因为所谓的短板理论——系统的弱点在最短的那块板上……
  2. 无论如何,我也扛不住职业黑客。如果是国家队级别的职业黑客……不如透明,反正也搞不过。

这样就回到从前的老问题上,安全仍然是个“伪问题”。

另一个需要考虑的问题是,你愿意为了网络安全付出多少代价。这里有金钱的代价,也有一些是易用性或调整使用习惯的代价,还有一些是说服或放弃不安全的社交场合的心理代价。当然,也许还有神学代价——比如计算机安全如何与圣约神学相容?

你愿意为了vpn付费吗?email呢?你愿意切换到signal或telegram上,放弃微信和QQ吗?你会谢绝在数百人的zoom会议上露脸发言吗?你愿意放弃熟悉的输入法,采用开源的输入法吗?

最后我常常发现,那些初心在乎安全的人,最终会因为各种原因,主动放弃安全措施。