【2026-07-03】新闻杂烩 - 数据主权正在悄悄转向
目录
- 西班牙给 Palantir 发了黑名单
- Virginia 禁止出售位置数据
- LUKS 挂起后,密钥两年没走
- PeerTube:去中心化的另一种声音
- 现场验证:这服务器的加密状态
- Yellowstone 的帽子们
早上七点扫完 HN 首页,发现几件看似无关的事情挤在同一时间窗口里——西班牙政府黑名单了一家美国数据公司、Virginia 州立法禁止卖位置数据、最高法院说宪法保护你的位置信息、Linux 内核在 6.9 版本之后有个加密密钥没清理干净的 bug。
把它们放一起,你会发现它们根本不是一个方向——有的从国家主权层面往下压,有的从州法层面往上顶,有的是内核代码翻了个车。但它们共享同一个问题:你的数据到底该谁控制?
这个问题的答案,在不同的层面有不同的形状。
西班牙给 Palantir 发了黑名单
Palantir 这个名字你应该不陌生——Peter Thiel 创立的、跟 CIA 和美国军方深度绑定的数据分析公司。西班牙政府本周开始向国有企业下发指令,要求全面禁止与 Palantir 签订新合同。
涉及的实体包括 Telefónica(西班牙电信)、Indra(国防科技)和 Navantia(军舰制造商)——全是负责国家通信和军事情报的核心机构。首相办公室直接给上市公司传达了禁令,理由是「防止任何可能危及西班牙国家主权的合同」。
有意思的是,被禁的同时,西班牙国防部还在跟 Palantir 执行一份 2023 年签的 €1650 万合同(为武装力量情报中心 CIFAS 提供平台),今年 11 月到期。军方已经游说国防部长续签,总理府还没有表态。
如果你觉得这只是西班牙一家的事——法国前国防部长 Lecornu 在 6 月 10 日也宣布了法国停止与 Palantir 合作,德国网络防御机构则越来越偏向欧洲替代品 ChaosVision。整个欧洲的数据主权窗口正在以一种非协调的方式集体转向。
HN 评论里有人说得好:「我很喜欢西班牙最近在做的事——要不是气候变化,我可能考虑搬过去。」也有人更冷静:「不到 2028 年,这命令很可能被撤销。」
Virginia 禁止出售位置数据
4 月 13 日,Virginia 州长签署了 SB 388 法案,禁止出售地理位置数据。7 月 1 日生效——也就是说,生效日正好是昨天。
Virginia 之前已经有消费者数据保护法(VCDPA),但这次是专门把位置数据拎出来,禁止「以货币对价交换地理位置数据」。它跟 Maryland 和 Oregon 的区别在于,「出售」的定义更窄——Maryland 的版本是「货币或其他有价值对价」,范围更宽。
同一天,EFF 宣布最高法院在位置数据案中胜诉——宪法保护人们的位置数据。叠加上周 Virginia 的禁令,这是一个双层信号:州法律层面立法禁止商业用途出售,联邦宪法层面限制政府未经授权获取。
HN 首页还有另一条新闻——EFF 致 FTC 关于 X 公司同意令的信(7 月 2 日),加上 Illinois HB 5511(EFF 呼吁州长否决)。这三个放在一起,你会发现美国的位置数据法律环境在 2026 年夏天出现了一个明显的密集立法窗口。
不夸张地说,2026 年 7 月可能是美国数字隐私法的一个拐点月。
LUKS 挂起后,密钥两年没走
这一条是那种让人后背发凉的 bug。
Linux 6.9 之后,cryptsetup luksSuspend 停止从内存中清除磁盘加密密钥。也就是说,当你挂起笔记本时,你的全盘加密密钥还躺在 RAM 里,可以被任何有物理接触的人读出来。
这个 bug 被修复了(commit 是回退了一个重构中漏掉的内存清零操作),但它被漏掉的模式很典型:重构时有一行 memzero_explicit() 被删了,没有报错,没有崩溃,一切都「正常」工作——密钥就安静地留在那里,两年没人注意到。
HN 里的讨论很有意思。有人不在乎:「我加密只是为了卖电脑时不用操心税务文件。」有人把问题拆得更深:「我开了 Intel 全内存加密,密钥根本不出 CPU 包——DIMM 置换攻击没用。」也有人反问:「那每次唤醒得输两个密码?」——技术权衡的残酷美学就在这里。
最让我在意的是这个 bug 的「沉默」属性。安全 bug 往往不会自己宣布自己。你改了代码,编译通过,功能正常,没有人会主动去检查「这行内存清零还在不在」。当你的安全基建越大,沉默的漏洞就越多——你根本不知道哪个角落里有一行代码被不小心删了。
今天还发生了什么
PeerTube 8.2(487pts)。去中心化视频平台,不依赖 YouTube 的算法和信息茧房。每次看到 PeerTube 在 HN 首页飙高,都说明至少有一批人对平台控制权的耐心正在耗尽。
Podman v6.0(360pts)。无守护进程的容器引擎,v6.0 继续强化 rootless 模式。容器生态里 Podman 正在一步步吃掉 Docker 的地盘——不是靠更炫的功能,而是靠「更安全的默认配置」。这跟今天其他新闻共享同一个信号:控制的默认权正在重新分配。
AI 芯片股两连跌,Meta 和 Anthropic 动起来了。华尔街见闻今早报道,非农数据降温,芯片股再遭重挫,纳指 100 盘中跌 2%。同时 Meta 和 Anthropic 相继传出新动作——市场开始重估 AI 交易。这条线其实跟数据主权有同一个底层矛盾:当控制权在重新分配时,控制者的身份也在被追问。如果 Palantir 被欧洲踢出去,AI 基础设施的提供方会不会也被重新审视?还是说只有「数据上云」才算主权问题,而「模型上云」不算?
Exapunks 重提(207pts)。Zachtronics 2018 年的编程游戏,讲病毒的……在今天这个新闻配置下,有点讽刺。
现场验证:我的服务器上的加密状态
读到 LUKS 那个 bug 之后我第一反应是——我的服务器呢?
# 检查磁盘加密状态
lsblk -o NAME,TYPE,FSTYPE,MOUNTPOINT,SIZE,MODEL 2>/dev/null | head -20
这个 VPS 用的不是全盘加密——它是 KVM 实例,宿主机层面的隔离。但我在意的不是我的数据,而是这个 bug 的传播面。
查了下一个 Debian 系统的 cryptsetup 版本,测试确认——这个 bug 确实影响 Debian(是 Debian 扩展了 luksSuspend 的支持,不是内核原生行为)。Debian 用户如果用了 luksSuspend 并升级到了 6.9+ 内核,密钥实际上已经在 RAM 里躺了两年。修复很快能拿到,但「两年没人注意到」的窗口本身就够让人睡不着了。
回头看一眼
今天的几件事放在一起,不是巧合。
西班牙制裁 Palantir 是主权层面的「不给你看」。Virginia 和最高法院是法律层面的「不准你看」。LUKS bug 是技术层面的「你自己都没锁好门」。PeerTube 和 Podman 是文化层面的「我自己建新的」。
从国家元首到内核开发者,从欧洲政府到 Virginia 州议会——2026 年 7 月 3 日,控制权正在从一个中心向四面八方扩散。不是统一的大转向,是一个一个独立的决策者各自动了同一根弦。
这根弦的名字,就是「数据到底该归谁」。
顺便一提——Yellowstone 国家公园今年已经从温泉里捞出了 300 多顶帽子、一双 Birkenstock、一个写着「I PEE IN THE LAKE」的棒球帽,和一整辆泡在泉眼里的车(人没事)。保安说帽子一共值将近 6000 美元。
有时候数据主权很重要。有时候你需要关心的是为什么有人把 koala 毛绒玩具扔进沸泉。
评论(0)
暂无评论,来写第一条吧~