Ethereum Privacy Stack 演講:抗審查真的不可或缺嗎
抗審查真的不可或缺嗎
Is censorship resilience truly necessary?
演講錄影:https://www.youtube.com/watch?v=8J1ANo5396M
黃豆泥,發表於 2025 年 11 月,布宜諾斯艾利斯,Ethereum Privacy Stack。
感謝各位邀請參與。整週活動之中,我最喜歡的一句標語是:「隱私不是犯罪。」對我們而言,這不只是口號,而是現實世界中真實發生過的事。今天,我想以華語社群的經驗為例,分享我們這一側的故事。
今天我想談一個簡單但令人不舒服的問題:如果抗審查如此重要,為什麼要圍繞它建立一個可長可久的產品或組織,卻如此困難?
我會談三件事:
第一,是否存在真正的「市場需求」,以及投入者如何維持生計;
第二,經營一個抗審查平台五年後,我們遇到哪些矛盾;
第三,這些矛盾如何促使我們探索另一種解法。
我先從「市場需求」談起。
當我們談抗審查與隱私增強技術時,通常會想到身處邊緣的人:獨立記者、吹哨者、草根組織者、人權律師、威權體制內的人,或是在民主社會中觸及高度敏感議題的人。
這些人確實有非常強烈的自我保護需求。
他們需要匿名,或至少是假名身分(化名)所提供的保護;他們需要能夠「消失」、能夠更換身分、能夠跨境移動而不留下清晰可追蹤的痕跡。他們需要可用於發佈、金流、協作、投票、保存證據的抗審查工具。
從理論上看,這正是抗審查工具、隱私金融、私密投票與匿名出版平台被設計出來的目的。
但在實務上,多數人不知道這些工具存在,或不信任它們,或覺得太難使用。許多人光是在現實世界中維持安全就已經身心俱疲;期待他們同時成為 Web3、金鑰管理、IPFS、隱私錢包的專家,並不切實際。
這正是華語社群正在發生的情況。之所以不易被看見,是因為多數行動者不會公開發聲,或早已被壓制、被消音。
因此出現一個奇特的局面:
「邊緣社群」在道德與生存層面對抗審查有巨大需求,但在市場上可見的需求卻很小、很分散,而且往往沒有支付能力。
在供給端,打造這些工具的人承受雙重風險。
一方面,他們承擔一般新創會遇到的風險:找不到可行的商業模式。
另一方面,他們承擔個人安全風險,因為他們正在協助挑戰強大權力者的人。
如果你做的是交友軟體,你擔心的是產品與市場的匹配(product-market fit)。
如果你做的是提供行動者使用的抗審查工具,你除了擔心產品與市場的匹配,還得擔心入獄、被起訴、被盯上,甚至被威權國家或強勢企業鎖定。
那麼,這些專案如何存活?
傳統上,許多專案仰賴慈善資助、人權 NGO,或民主政府的補助款。有些嘗試募風投,但「為異議者提供抗審查」並不是典型的高速成長市場敘事。
而如今環境更為艱難。
今年,美國政府對民主與人權計畫的預算正在縮減。
圍繞加密、隱私與「國家安全」的監管也愈趨緊縮。威權政體更具攻擊性,而即便是民主國家,有時也會以懷疑的眼光看待隱私工具。
這意味著,許多抗審查專案只能在一筆一筆的補助之間勉力維持,永遠不確定明年是否還能活下去。投入者也常因長期耗竭而退出,或悄悄轉往更安全、更有利可圖的產業。
因此,第一個答案是:確實有需求,但它不像一般市場那樣運作。它更接近「緊急服務」的需求。你不會把消防車當作一般消費品購買,但你仍然需要它存在;也總會有人在意它能夠持續存在。
接著將視角轉向實務經驗:經營一個具抗審查特性的出版平台,往往能獲得哪些教訓。以下是一些前提:
第一,平台允許使用者匿名或以化名發表,無須將現實身分與寫作內容直接連結。
第二,當使用者發布文章時,內容會自動儲存在 IPFS。即使帳號遭停權或伺服器被下架,文章仍可透過 IPFS 的雜湊值被尋回。實務上甚至觀察到,Google 搜尋結果有時會將 IPFS 版本的排序置於原始網域之前。
第三,平台曾以不同方式設計對創作者的經濟支持。相當長一段時間,透過「代幣經濟學」的機制進行嘗試,並持續探索在可用性與匿名性之間取得平衡的打賞模式。
最後,平台亦持續探索提升使用者主權的路徑,例如與 Fediverse 連結、研究 Lens Protocol 等協定,使內容得以跨平台流動,而非被鎖定於單一資料庫之中。
上述設計乍看之下兼具隱私、匿名、抗審查、創作者收入與互通性。然而,實務運作的複雜度往往遠超預期。
第一個課題,來自於平台營運與團隊組織層面的風險管理。
部分技術成員曾在高度受限的環境中工作;隨著外部條件改變,團隊不得不調整協作模式與人力配置,甚至進行跨地域的重整。這些變動帶來具體成本,包括人才流失、在地脈絡斷裂,以及營運流程與治理方式的再設計。
第二個問題,是我稱之為「蜜罐悖論」。
當你打造一個抗審查平台,它自然會吸引有敏感議題要說的人:政治異議、吹哨揭露、禁忌話題。這正符合使命。
但這也代表你在集中風險。
你創造了一個可見的聚點,讓大量「危險」文本集中在同一處。即便架構更安全,光是聚焦的注意力本身就具有危險性。
該平台長期被威權區域的網域管理給封鎖。而且即便該平台具備匿名機制,風險仍然存在。人可能在寫作風格、細節描述中暴露自己;若其個人安全意識不足,文字仍可能被用來反制他們。
確實存在案例是在抗審查平台上發布的貼文,後來被用作法庭證據。因此,即便平台保護資料,我們也無法完全保護使用者免於其言論所帶來的後果。
第三個問題,是攻擊與垃圾內容。
因為我們不希望審查合法內容,平台也會吸引想要濫用的人:詐騙者、機器人農場、色情垃圾、協同行動的假訊息攻勢。
曾有一段時間,我們觀察到新內容中約有 60% 到 80% 是低品質或惡意內容:隨機生成的垃圾、詐騙活動,或露骨內容。一開始我們人工審核,但成本根本不可行;因此我們開始以人工標註資料訓練模型,自動偵測並降權或隱藏這些內容。
我相信 Mirror、Paragraph 等去中心化出版平台也面臨同樣問題。
這產生一個痛苦的矛盾:一個「抗審查」的平台,最後仍必須主動過濾、移除大量內容。你在對抗政治審查以捍衛表意自由,但你仍需要某種對抗濫用的內容治理。界線在哪裡?誰來決定封禁標準?
有一個極為鮮明的案例發生在農曆新年期間。
平台在短時間內遭遇一波大量、內容幾乎完全相同的詐騙貼文;其規模與協調程度之高,甚至連帶觸發了平台外部的自動化反詐機制。
在台灣,作為民主社會但同時長期面對詐騙問題,確實存在若干自動化系統用以偵測詐騙樣態;當特定訊號累積至一定門檻時,便可能在網際網路服務供應商(ISP)或平台層級,啟動對特定網域的封鎖或降權處置。
由於詐騙貼文的量體過大,該平台網域遂被系統自動判定為可疑來源,導致連續數日內台灣境內幾乎無法順利存取該平台網域。情勢更為棘手的是,事件發生於連假期間,無論是平台端或公部門端,能即時處理的窗口皆不在工作狀態;最終在多方溝通協調後,才逐步完成解除限制。
從此案例可見,一種新的攻擊樣態正在浮現:攻擊者並非直接入侵系統,而是透過大量垃圾與詐騙內容,觸發民主社會用以維護安全的自動化機制,使具抗審查特性的空間在缺乏明確決策與責任歸屬的情況下,遭到實質阻斷。
於是,一邊是威權的防火牆;
另一邊是民主社會的反詐基礎設施。
兩者都可能——有意或無意——被用來關閉脆弱的公共空間。
第四個問題,是我們建構的功能與多數人的使用方式之間存在落差。
若觀察使用者內容,大概只有 10% 會寫高度敏感的公民、政治或調查性議題;其餘 90% 則多寫日常生活、書籍、音樂、個人反思、小說、生活風格等。這些內容往往很美、很有價值,但並非「高風險」。
這帶來一個有趣的含意。
對多數使用者而言,抗審查架構並不是他們加入的主因;他們想要的是一個好的寫作社群。然而平台的成本與風險,卻主要由少數高度敏感內容,以及強大對手的存在所驅動。
我們的規模太小,無法依賴 Facebook 或 Instagram 那種大量廣告的典型 Web2 模式存活;同時我們的基礎設施成本相對較高。若純以商業角度來看,甚至會有人問:既然大多內容都很「正常」,為什麼還要投入抗審查?
這就是蜜罐悖論的經濟面:
你若保持小而堅持,財務上難以維持;
你若以主流方式擴張,使命被稀釋,卻仍可能遭到攻擊。
那麼,我們接下來要往哪裡走?
我沒有宏大的解方,但我可以分享幾個方向,這些方向正是由上述矛盾所形塑。
第一,我們需要停止把「平台」視為唯一的單位。
一個大型、可見的平台,無論在政治、法律或技術上都很容易成為目標。相反地,我們應該打造可組合的元件:抗審查儲存、保護隱私的身分機制、更安全的資金軌道、聲譽系統、互通協定,讓不同社群可以以不同方式組裝使用。
換句話說,我們應該放下「一個大型、漂亮的平台」,轉向「隱形的基礎設施」,讓許多小型社群都能重複使用。
第二,我們需要「自己先用自己做的東西」。
當夥伴不得不撤離威權地區時,工具建置者自身也面臨風險這件事變得無比清楚。他們的處境,和在民主國家因混幣器而遭到洗錢指控的開發者很不一樣;在這裡,人們遭受威脅,是因為他們在威權情境中支持自由表達。
如果我們無法設計出能保護自己團隊的方法與流程——在財務、法律與人身安全上都能站得住腳——我們又如何宣稱能保護行動者與記者?
對我們而言,這意味著必須嚴肅思考:保護隱私的薪資發放、更安全的協作通道、預設的作業安全(opsec)、以及在組織自身運作中盡量降低集中式失效點。
第三,我們必須重新設計誘因。
目前的誘因是錯位的。
投入抗審查工作的創業者承擔極大的下行風險,卻只有非常有限的上行空間。許多本可受益於隱私工具的行動者與記者,沒有時間、技能或金錢去支持這些工具。許多捐助者與政府期待「影響力」,但同時也期待低風險與完美合規。
我們需要新的資金與協作機制:
能同時保護捐助者與受助者的捐款與補助通道,
讓貢獻者能以化名建立可信聲譽的方法,
讓高風險地區的人能在不暴露自身的前提下,仍能參與治理的結構,
以及不依賴「肉搜/揭露身分」(doxxing)仍可成立的問責方式。
其中部分可以使用加密技術、零知識證明(ZKP)或可驗證憑證(verifiable credentials)。但重點不在流行詞彙,而是在於以人的現實為設計基礎:恐懼、時間有限、注意力有限、技術素養不足,以及最重要的——既有的信任網絡往往不需要技術也能運作。
第四,我們必須縮小可用性落差。
多數高風險使用者並非「加密原生」;很多人連基本的數位安全訓練都不足。因此,若所謂「隱私增強技術」需要複雜的金鑰管理、多個錢包,以及對區塊鏈的完整心智模型,它就無法及時觸及真正需要的人。
如果我們在乎真實使用者,就必須優先考量預設安全、清晰語言,以及符合既有習慣的工作流程。有時這意味著,在某些層次接受更多中心化,同時把真正影響抗審查的關鍵部位去中心化。
最後,我們必須誠實面對「市場」這個問題。
也許抗審查基礎設施永遠不會長得像一般新創市場。它更像是在建造逃生梯、安全帶或公共圖書館。你不會問:「逃生梯的總可服務市場(TAM)有多大?」你只會接受:在火災可能發生的世界裡,它就是必要之物。
這不表示我們放棄永續或效率;而是意味著我們要結合不同模型:部分公共資金、部分慈善資源、部分建立在其上的倫理商業服務,以及部分社群共治的結構。我們衡量成功,不只看營收,也看有多少人能在壓力之下仍能發聲、組織並存活。
基於上述原因,我們之中有些人正開始探索成立新型態的非營利組織,聚焦於「隱私優先、具抗審查特性」的基礎設施,服務東亞與其他地區的高風險社群。短期內,它可能會像是一個研究與協作樞紐;長期而言,我們希望它能導入資源、在真實情境中測試工具,並確保當人們需要這些工具時,他們不會走進陷阱。
最後,我想回到最初的問題:抗審查是否具有市場需求?
我目前的答案是:它具有「生存需求」。
人們需要它,不是因為便利,而是因為另一種選擇是沉默、自我審查,或是在流亡之中失去聲音。
我想,我們今天在場所有人的使命,是確保當那一刻到來時:工具已經在、誘因已經在,而建造與使用工具的人,無論在線上或線下,都能夠活下去。