一个网页,不读你的硬盘文件,也不突破浏览器沙箱,却可能从 SSD 的“忙不忙”里猜出你还开着什么。

这就是研究人员披露的 FROST,完整名称是 fingerprinting remotely using OPFS-based SSD timing。它利用浏览器里的 OPFS(Origin Private File System)创建大文件,再用普通 JavaScript 做随机读取,测量 SSD I/O 延迟。

我更在意的不是“网页能偷硬盘数据”。目前看,FROST 不能读取 SSD 文件内容,也没有证据显示它已在真实世界大规模利用。它真正麻烦的地方在于:网页拿到的本地能力越多,连存储竞争延迟都可能变成隐私信号。

FROST 能看见什么,不能看见什么

FROST 的入口很低。用户只要打开恶意网页,核心测量代码就能在浏览器里运行。不需要安装插件,也不需要额外授权。

它的做法也不神秘。恶意网页在自己的 OPFS 沙箱里放一个大文件,持续随机读取。若同一块 SSD 上,其他标签页或本机应用也在读写数据,FROST 就能记录到延迟波动。

研究人员再用预训练的卷积神经网络(CNN)分析这些延迟轨迹,判断活动类型。攻击者看到的不是文件名、聊天内容或图片,而是一串时间特征:这块盘什么时候忙,忙的节奏像什么。

观察对象FROST 可能推断FROST 不能做影响判断
浏览器标签页部分网站是否打开、是否产生特定活动读取网页内容更像隐私指纹,不是数据窃取
本机应用部分会触发 SSD 访问的应用活动控制应用或读取应用数据更像活动监测,不是入侵主机
设备环境同一块 SSD 上的竞争延迟跨硬盘稳定识别部署条件有限制

这类问题并不新。浏览历史嗅探、Canvas 指纹、字体探测,走的都是类似路线:不直接拿数据,而是从边角信号拼画像。FROST 的新意在于,它把观察对象从浏览器内部,推进到了底层存储竞争。

这也是它该被修补的原因。

现实限制不少,但不能因此低估

现在不能把 FROST 说成“所有系统、所有浏览器都已被完整攻破”。研究的完整攻击主要在 M2 Mac 环境验证。Linux 上验证了 JavaScript 测量 SSD 访问延迟的底层能力,但没有完整跑分类攻击。Windows 尚未测试。

它还有一个很现实的门槛:需要较大的 OPFS 文件,可能达到 1GB 以上。陌生网站突然占用这么多本地存储,并不总是悄无声息。浏览器或系统的存储管理界面,有机会暴露异常。

攻击还要求 OPFS 文件与目标活动使用同一块 SSD。如果应用、缓存或数据在另一块盘上,识别能力会下降。

这些限制说明,FROST 现在更像前沿隐私风险,而不是成熟黑产工具。问题是,前沿风险常常就是浏览器安全补丁的起点。

浏览器已经不是单纯的网页查看器。在线文档、图片编辑器、Web IDE、视频工具,都在依赖本地缓存、文件系统 API 和更高性能的浏览器运行时。OPFS 原本是为了让 Web 应用更接近原生应用体验。FROST 提醒的是另一面:性能能力一旦进入网页,就会增加新的可观测面。

对 Web 平台开发者来说,这不是“立刻停用 OPFS”的信号。更现实的动作是:如果产品依赖大体积本地缓存,要提前关注浏览器配额、提示和计时精度变化。企业安全团队如果管理高敏设备,也可以把陌生站点的大额本地存储占用纳入检查项,而不是只盯下载文件和扩展插件。

用户能做的有限,关键在浏览器怎么补

普通用户能做的事不多。少长期挂着不用的标签页,定期清理陌生网站的本地数据,看到异常大的站点存储占用就删掉。这些动作有用,但不应被包装成完整防护。

真正有效的修补,还是要落到浏览器和 Web 平台。

可选方向大致有几类:限制单站点 OPFS 文件规模,降低可被滥用的高精度计时能力,对异常大文件创建增加提示,或对高频随机读取做节流。

防护方向好处代价
限制 OPFS 单站点规模降低大文件测量可行性可能影响重度 Web 应用缓存
降低计时精度削弱延迟轨迹分类可能误伤性能分析和部分应用体验
大文件创建提示让用户更容易发现异常提示过多会变成噪音
随机读取节流针对 FROST 的测量模式需要避免误伤正常文件操作

难点在平衡。限制太严,会伤到 Figma、VS Code for the Web、在线剪辑工具这类重度 Web 应用。限制太松,浏览器又会继续累积用户难以察觉的侧信道。

接下来要看的变量很具体。

一看主流浏览器是否调整 OPFS 配额、提示和计时策略。二看 Windows 与更多硬件环境上的复现结果。三看攻击是否能降低存储占用,并在噪声更高的真实环境里稳定分类。

如果这些条件没有突破,FROST 仍是需要修补的研究型风险。如果浏览器厂商迟迟不动,它就可能给后续持久化指纹技术打样。