guitargnarr/audit-3layer-session-2026-04-18

# audit-3layer 会话：2026年4月18日 50 次审计。61 份 PDF。1 个会话。12 种模式。1 个管道。 ## 这是什么 通过在单个 Claude Code 会话（Opus 4.6，1M 上下文）中运行 `/audit-3layer` 技能，对 50 个实体收集的情报。技能在执行过程中经历了 7 次升级。每份 PDF 记录了 HTTP 标头、SSL 证书、DNS 记录、内容安全策略标头以及公共记录方面的观察结果。 这些审计追踪了一条完整的监控管道，从天气应用收集你的位置信息，到 FBI 在没有搜查令的情况下访问这些信息——涉及 8 个实体、5 家私募股权公司，且零司法令状。 ## 你会发现什么 ### 监控管道（审计 #44、#12、#5、#43、#11、#34） 移动广告数据如何从你的手机流向政府监控。天气应用 -> 广告交换平台 -> DMP -> 数据经纪商 -> FBI。每个节点均经过审计。 ### 隐私光谱（审计 #31、#7、#19、#25、#3） 从 WireGuard（零追踪，22KB，自建服务器）到 TheLayoff（Lotame DMP 在未经同意的情况下对匿名用户进行画像）。每个层级均有文档记录。 ### 道德技术栈（可操作发现报告） 对于每一种监控技术，都存在一个道德替代方案并已记录：使用 Turnstile 替代 reCAPTCHA，使用 GrowthBook 替代 LaunchDarkly，使用 Permutive 替代 Lotame，使用 Matomo 替代 GA4。 ### CSP 作为情报（审计 #11、#27、#41、#48） 内容安全策略标头揭示了一个实体的完整技术栈。CSP 显示了网站计划加载的内容。同意机制决定了哪些内容会执行。CSP 就是真相。 ## 文件 - `*-3layer-audit.pdf` —— 单个审计 PDF（v1） - `*-3layer-audit-v2.pdf` —— 带有时间验证修正的重新运行 PDF - `SESSION-SYNTHESIS-50-AUDITS.pdf` —— 顶石报告：12 种模式、技术目录 - `ACTIONABLE-FINDINGS-REPORT.md` —— 六层完整提取目录 - `CONTRIBUTING.md` —— 如何添加审计、更正发现、扩展连接 - `DISCLAIMER.md` —— 这是什么以及不是什么 ## 裁决 | 裁决 | 数量 | 含义 | |---------|-------|---------| | ENGAGE | 1 | 可解决的差距正是参与范围 | | STUDY | 35 | 情报即为价值 | | MONITOR | 10 | 合法但存在主动风险 | | AVOID | 1 | 欺骗模式或监管责任 | ## 验证准确性 - 基础设施声明：**93%** 通过实际系统验证 - Proofpoint 信号：**6/6** MX 记录已确认在线 - 自行识别并应用了 2 处更正 ## 被审计实体 | # | 实体 | 裁决 | 关键发现 | |---|--------|---------|-------------| | 1 | TwinSpires | MONITOR | 密歇根州裁决被推翻（时间验证发现陈旧数据） | | 2 | RetailMyMeds | ENGAGE | 唯一客户 —— 6 个可解决差距 = 参与范围 | | 3 | TheLayoff | STUDY | 匿名所有者，83% 市场份额，未经同意的 Lotame DMP | | 4 | CJ Affiliate | MONITOR | 公共史泰龙 FTC 永久禁止令 | | 5 | stupendoussnow.com | STUDY | Admiral/Leven Labs 反广告拦截基础设施 | | 6 | Dentsu | STUDY | 奥运会刑事定罪 + FTC + 过劳死 + 过度收费 | | 7 | impact.com | STUDY | 最干净的实体 —— 默认拒绝同意，零投诉 | | 8 | ZoomInfo | AVOID | 2955 万美元和解 + 股东调查 | | 9 | Hexxium Creations | STUDY | 志愿者屏蔽列表项目 —— 军备竞赛的防御侧 | | 10 | Awin | MONITOR | 上市 13 个月以上，估值 4.36 亿美元 | | 11 | Palantir | STUDY | 3600 亿美元，SHA-256 CSP，构建者与部署者隔离 | | 12 | Lotame | STUDY | 市场份额下降至 0.13%，对 TheLayoff 访客进行画像 | | 13 | WEF | STUDY | 托管 GARM —— 背后是 FTC 合谋案框架 | | 14 | CISA | STUDY | KEV 目录、ECC 证书、Drupal 11 —— 公共利益技术 | | 15 | ISACA | STUDY | COBIT/CRISC 治理框架 —— 元层级 | | 16 | ProPublica | STUDY | 零追踪，由捐赠资助，拥有 87+ 个 GitHub 仓库 | | 17 | PCWorld | STUDY | 18 个广告技术系统 —— 出版商广告技术的罗塞塔石碑 | | 18 | BlackRock | STUDY | Istio、Source Defense、基于 nonce 的 CSP、Tealium、分析关闭 | | 19 | a16z | STUDY | Plausible + GA4，HackerOne，X-Frame-Options: DENY | | 20 | Permutive | STUDY | 边缘 DMP —— 数据在设备上处理，永不离开 | | 21 | Snowflake | MONITOR | 160 多个组织遭入侵，未强制执行多因素认证 | | 22 | Okta | MONITOR | 6000 万美元和解，员工将凭证保存在个人 Google 账户 | | 23 | monday.com | MONITOR | 人工智能 disruption 导致股价下跌 21%，GoDaddy SSL | | 24 | Vercel | STUDY | 狗食式使用 Next.js + Payload，全真 cookie | | 25 | Render | STUDY | GrowthBook、Sanity CMS、Segment CDP、PostHog | | 26 | Algolia | STUDY | 最大的 CSP：40 多个域名，完整的 B2B 营销技术地图 | | 27 | Pusher | STUDY | 托管在 Vercel 上（相互依赖），通配符 CORS | | 28 | PayPal | MONITOR | 首个 EV 证书，自托管邮件，Fastly CDN | | 29 | GrowthBook | STUDY | 开源功能标志，MIT 许可，比 LaunchDarkly 便宜 5 倍 | | 30 | WireGuard | STUDY | 22KB，自建服务器，零追踪 —— 底线标准 | | 31 | AOL | STUDY | Yahoo 皮肤在 Apollo PE 之下 —— 品牌作为流量捕获 | | 32 | Varnish | STUDY | 在 DigitalOcean 上使用 Varnish/6.0 进行狗食式测试 | | 33 | Flock Safety | STUDY | 75 亿美元 ALPR，集体诉讼，160 万次搜索，EFF/ACLU 诉讼 | | 34 | MSN | STUDY | 微软自签名 CA，MUID 追踪，用户群体 cookie | | 35 | Yahoo | MONITOR | Apollo Epstein 集体诉讼，CSP = 完整产品组合地图 | | 36 | Twilio | MONITOR | Authy 3300 万账户泄露，收购 Segment，Proofpoint 邮件 | | 37 | BloodHound/SpecterOps | STUDY | BHE 9.0 映射 Okta 攻击路径，使用 ZoomInfo 获取线索 | | 38 | W3Schools | STUDY | 教授安全标头，但未使用 HSTS | | 39 | WetterOnline | STUDY | 地理封锁（403），自建邮件，部分审计 | | 40 | Proofpoint | STUDY | 24% 电子邮件安全市场份额，会话中 6 个客户，PE 拥有 | | 41 | ResearchGate | STUDY | 学术界的 ZoomInfo，版权和解，16 字节 403 | | 42 Babel Street | STUDY | Locate X，FBI 2700 万美元（FBI Babel X），FISA 702 两天后到期 | | 43 | Weather Company | STUDY | 位置数据作为借口，LA 诉讼和解，管道源头 | | 44 | Cloudflare/Turnstile | STUDY | 无监控的 CAPTCHA，打断 reCAPTCHA 管道 | | 45 | Rulta | STUDY | 仅面向 OnlyFans 创建者的 DMCA 自动化 | | 46 | Datadog | STUDY | 386 亿美元用于从 S3 存储桶提供主页 | | 47 | Huntress | STUDY | 针对中小企业的 MDR，位列第三大的 CSP，Spotify Pixel，Builder.io | | 48 | Ascendeum | STUDY | 零安全标头 —— 低于底线 | | 49 | WRISE | STUDY | 私有状态令牌 —— 在 50 次审计中首次 | ## 本研究的应用场景 ### 子版块 - [r/privacy](https://reddit.com/r/privacy) —— 监控管道文档、同意光谱、道德替代方案 - [r/netsec](https://reddit.com/r/netsec) —— CSP 作为情报、安全标头分析、漏洞模式文档 - [r/OSINT](https://reddit.com/r/OSINT) —— HTTP 标头情报提取、基础设施指纹识别方法论 - [r/cybersecurity](https://reddit.com/r/cybersecurity) —— Proofpoint 收敛、漏洞根本原因、BloodHound/CISA 关联 - [r/privacytoolsIO](https://reddit.com/r/privacytoolsIO) —— 道德技术栈替代方案（Turnstile、Matomo、Permutive、GrowthBook） - [r/adops](https://reddit.com/r/adops) —— PCWorld 广告技术栈分析、Admiral 反广告拦截、Lotame 与 Permutive 对比 - [r/webdev](https://reddit.com/r/webdev) —— 安全标头实现、CSP 部署模式、W3Schools 讽刺 - [r/sysadmin](https://reddit.com/r/sysadmin) —— HSTS 配置、双 CDN 模式、ECC 证书 - [r/antiwork](https://reddit.com/r/antiwork) —— TheLayoff 审计（匿名论坛通过 Lotame DMP 对员工进行画像） - [r/legaltech](https://reddit.com/r/legaltech) —— FTC 禁止令、FISA 702、Flock Safety 集体诉讼、时间验证 ### 论坛与社区 - **Hacker News**（news.ycombinator.com）—— CSP 情报方法论、WireGuard 基础设施哲学、监控管道 - **Lobsters**（lobste.rs）—— 技术基础设施分析、安全标头模式 - **EFF Deeplinks**—— Flock Safety、Babel Street、监控管道文档与 EFF 现有调查一致 - **OWASP 社区**—— 来自 50 个生产站点的安全标头参考架构 - **InfoSec Twitter/X**—— 漏洞模式分析（Snowflake/Okta/Twilio 同一根本原因） ### 如何展示本仓库 **面向隐私社区：** “我们追踪了一条从天气应用到 FBI 的监控管道，覆盖 50 个网站审计。每个节点均有文档记录，并为每项监控技术识别出道德替代方案。” **面向安全社区：** “50 个生产网站通过 HTTP 标头和 CSP 分析进行审计。从 WireGuard（底线标准）到 BlackRock（基于 nonce 的 CSP）的安全标头参考架构。漏洞模式：5 起重大漏洞中有 3 起由默认配置缺失导致。” **面向开发者社区：** “CSP 标头是情报地图。阅读任何站点的 Content-Security-Policy 即可了解其完整技术栈——营销自动化、分析、广告技术、CRM、错误监控。已在 50 个站点上完成文档记录。” **面向广告技术/出版社区：** “PCWorld 的页面源代码包含了完整的程序化广告技术栈：Admiral 反广告拦截、Permutive DMP、7 个头部竞价合作伙伴、Taboola、Nativo、JW Player。每个配置参数均可见。” ## 贡献 参见 [CONTRIBUTING.md](CONTRIBUTING.md)。Fork 本仓库，使用该方法论审计新实体并提交 PR。欢迎更正。欢迎连接。欢迎新增技术目录条目。 ## 许可证 [CC BY-NC-SA 4.0](LICENSE) —— 分享、改编、分叉需署名。禁止商业使用。在相同许可下分享改进成果。 ## 免责声明 参见 [DISCLAIMER.md](DISCLAIMER.md)。本研究为教育性质，非安全审计、法律建议或供应商推荐。 由 [Matthew Scott / Project Lavos LLC](https://projectlavos.com) 使用 Claude Code（Opus 4.6，1M 上下文）生成

标签：3layer审计, AI辅助安全审计, Claude Code, CSP内容安全策略, DNS记录审计, ESC4, FBI访问, Google Analytics替代, GrowthBook, HTTP头审计, LaunchDarkly替代, Lotame, Matomo, Open Source Intelligence, OSINT, PDF审计, Permutive, RECAPTCHA替代, SSL证书审计, Turnstile, WireGuard, 云端取证, 会话分析, 伦理替代, 位置跟踪, 天气应用, 安全合规, 审计, 广告交换, 技术目录, 提示词模板, 数字取证, 数据经纪人, 文档化报告, 无证监控, 模式识别, 监控管道, 移动广告数据, 网络代理, 网络安全, 自动化脚本, 逆向工具, 道德技术栈, 隐私保护, 零知识追踪