布魯塞爾推出年齡驗證應用程式，駭客僅花2分鐘便成功破解

背景

歐盟委員會主席馮德萊恩近期發表了一款開源的年齡驗證應用程式，旨在配合各國限制未成年人接觸社交媒體與色情網站的政策。然而，該程式碼在 GitHub 公開後，隨即遭到網路安全專家與駭客的抨擊，指出其存在嚴重的隱私漏洞與安全缺陷，甚至有人宣稱僅需兩分鐘即可破解其保護機制。

社群觀點

Hacker News 的討論聚焦於技術實作與現實應用場景的落差。部分技術背景深厚的留言者指出，這款 App 實際上是歐盟數位身分錢包（eIDAS）架構下的一環，核心技術採用了「零知識證明」（Zero-Knowledge Proof, ZKP），理論上能讓使用者在不洩露具體身分資訊的情況下證明自己已成年。支持者認為，相較於目前許多網站要求上傳身分證件掃描檔，這種去中心化的驗證方式在隱私保護上是巨大的進步，能有效避免如 Discord 曾發生的身分證件外洩事件。

然而，反對意見則質疑這種技術在防範繞過機制上的無力感。許多討論者提到一個現實問題：如果成年人將解鎖的手機借給孩子，或者家長本身就採取放任態度，技術手段將形同虛設。有評論指出，手機並非如槍枝或汽車般的危險物品，家長與孩子共享裝置是極為普遍的日常行為，試圖透過 App 建立嚴格的年齡門檻在實務上極其困難。此外，專家們對程式碼品質表示擔憂，例如 App 被發現會將自拍影像以未加密的格式長期儲存在手機內部空間，這顯然不符合高規格的安全標準。

更深層的爭論在於「年齡驗證」是否只是「身分識別」的遮羞布。部分社群成員認為，政府推動此類技術的動機並非單純保護兒童，而是為了終結網路匿名性，建立更全面的監控體系。他們擔心這類 App 會強制要求使用受限的硬體（如必須具備 Google 或 Apple 服務的裝置），導致不使用主流系統或被科技巨頭封鎖的使用者失去基本權利。儘管歐盟強調這只是測試版本且歡迎外部審查，但批評者認為這種在政治壓力下倉促推出的「半熟」方案，反而會損害大眾未來對數位身分工具的信任。

延伸閱讀

在討論串中，參與者提供了多項技術文件與背景資料供深入研究。包括該應用的 Android 原始碼倉庫 以及相關的 技術規範文件。針對零知識證明的具體演算法，留言者引用了 Cryptology ePrint Archive 上的論文 《Anonymous credentials from ECDSA》。此外，針對駭客攻擊細節的技術分析，可參考 eIDAS-Pro 的部落格評論。