Meta 智能眼镜的伴侣应用 Stella,被研究者在 Android 构建里拆出了一条人脸识别链路。
版本号很具体:com.facebook.stella v273.0.0.21。研究对象也要说清楚,是 Stella 的 Android 版,不是眼镜固件本身。
这件事最容易被讲歪。它不是在证明“Meta 已经偷偷识别路人”。原研究没有证明这一点。
它真正说明的是另一件事:Meta 的智能眼镜生态里,端侧人脸识别所需的模型、索引、数据库和通知通道,已经被组装到一个可运行状态。器已成,是否启用、如何启用,才是接下来的问题。
发现了什么:模型、数据库和通知链路都对上了
研究者不是只看到几个孤立模型文件。
他们通过直接调用应用内已有 handler,用测试照片跑通了流程:先检测人脸,再对齐裁剪,生成 2048 维人脸嵌入,随后查询本地向量索引。
这一步很关键。它说明链路能跑,但也说明测试有前提:研究者是主动调用了现有 handler,并不是观察到普通用户界面里自然触发了该功能。
| 环节 | 组件或路径 | 作用 | 说明 |
|---|---|---|---|
| 人脸检测 | SCRFD.pte | 找出图像中的人脸 | 端侧具备基础人脸定位能力 |
| 人脸对齐 | KPSAligner.pte | 裁剪并校正人脸 | 为识别模型准备输入 |
| 向量生成 | SFace.pte | 生成 2048 维人脸嵌入 | 形成可比对的生物特征 |
| 本地索引 | RLDrive/person_profiles/objects.db | cosine 向量检索 | 数据结构与模型输出匹配 |
| 未匹配分支 | NameTagsPending/ | 写入裁剪图和 .emb 指纹 | 可暂存未命名人脸 |
| 匹配分支 | nametags_recognition 通知 | 显示 Person recognized | 通知链路已接好 |
本地数据库位于:
/data/user/0/com.facebook.stella/files/rldrive/person_profiles/objects.db
里面包含 person、face 表,以及 face_mediaPath_vec 这个 2048 维 cosine 向量索引。
未匹配时,Stella 会向 NameTagsPending/ 写入一对文件:裁剪后的人脸 jpg,以及 2048 维 .emb 指纹。
匹配时,则会触发标题为 Person recognized 的 Android 通知。研究者示例里的正文形如 Recognized Michel Foucault。
模型输出、数据库维度、检索方式、未匹配写入、匹配通知,都能接上。这已经不是“代码仓库里残留了几个文件”。更像是一条被预置好的工程管线。
能证明什么,不能证明什么
这篇研究最有价值的地方,是把证据边界划得比较清楚。
它能证明:端到端测试可运行。匹配和不匹配两条分支,也会出现不同结果。
它不能证明:普通用户端已经启用了这项功能。
几个限制必须放在台面上:普通未注册账号下,相关 Connections 入口不显示;通知深链指向的 fb-viewapp://name_tags?face_id= 页面,在 v273 中没有找到对应目的地;测试账号也没有观察到 Meta 服务器向 person_profiles 下发身份数据。
| 问题 | 目前证据 | 判断 |
|---|---|---|
| 本地识别链路是否存在 | 模型、数据库、索引、写入路径、通知都已发现 | 可以说已预置并可被调用 |
| 普通用户是否已在使用 | 普通未注册账号不显示相关 UI | 不能说已上线给普通用户 |
| 是否有服务器身份库下发 | 未观察到 Meta 下发身份数据 | 不能声称云端正在同步身份库 |
| 是否只是无用残留代码 | 端到端测试能跑通 | 比残留代码更进一步 |
这个区别很重要。
如果只有模型文件,最多说明团队做过准备。如果链路能跑通,说明产品工程已经走到更靠后的位置。但没有可见入口、没有身份数据下发、没有普通用户触发证据,就不能把它写成“Meta 正在实时识别所有路人”。
我更在意的是中间状态。
很多隐私风险不是从公开发布那天才开始的。能力先进了 App,审计和监管就不能只盯 UI。看不见按钮,不代表没有管线。
智能手机相册里的人脸聚类,用户大多还能理解:对象是自己的照片库。智能眼镜不同。它面对的是公共空间,是你面前的人。
Ray-Ban Meta 智能眼镜从 2023 年起主打拍摄、直播和 AI 助手,价格约 299 美元起。放在手机里,人脸识别像照片管理工具;放在眼镜里,它就更接近面对面社交里的身份提示器。
这就是反常点。
同样一套技术,换到眼镜上,信任边界会变得更薄。
对用户和团队,现在该盯四个变量
对普通用户,这条新闻暂时不等于“立刻停用”。证据还没到那一步。
但如果你本来就介意可穿戴摄像头和生物识别,购买或升级可以先观望。尤其是等 Meta 是否解释这套管线的用途,是否提供明确开关,是否说明本地和云端数据怎么处理。
已经在用的人,可以看三个地方:App 更新说明、权限变化、设置里是否出现人脸识别或联系人识别相关入口。不要只看宣传页,很多变化会先藏在权限、同步和通知设置里。
对企业采购、开发团队和合规团队,动作要更具体一点。
如果设备要进入办公区、门店、展会或医疗教育场景,采购可以延后到 Meta 给出更清楚的说明。至少要把“是否存在人脸识别能力、是否默认开启、是否上传或下发身份数据、员工和访客如何知情”写进评估清单。
做端侧 AI 或可穿戴产品的人,也该调整审计重点。不能只问“有没有按钮”。还要看预置模型、数据库目录、向量索引、远端命名空间、通知通道和深链页面。
接下来最该盯的是四个变量:
| 变量 | 为什么重要 | 出现后意味着什么 |
|---|---|---|
| Meta 是否公开解释 Stella 中这套管线 | 决定它是实验、预置能力,还是待发布功能 | 能降低猜测空间 |
后续版本是否补齐 name_tags 页面 | v273 里深链目标缺失 | 产品化入口可能在靠近 |
Connections 入口是否对普通账号开放 | 当前普通未注册账号不可见 | 用户侧功能可能开始放量 |
服务器是否向 person_profiles 下发身份数据 | 当前未观察到身份库下发 | 风险从本地能力转向真实识别 |
如果只出现模型和索引,它仍是预置能力。
如果页面、入口、身份数据同时补齐,性质就变了。那时讨论的重点不再是“有没有能力”,而是“用户是否真正知情、被识别者是否能拒绝、数据是否能被删除”。
这也是智能眼镜和手机最大的差别。
手机里的识别,多数时候发生在你保存下来的内容里。眼镜上的识别,可能发生在别人还没意识到自己进入镜头的时候。
这一步不一定已经发生。
但现在能看到的是,路已经铺到门口了。