自 2024/2/16 開始,一些聯邦宇宙實例開始收到 spam 訊息,以日文為主,也有韓文版本:
背景
根據這一篇 Discord Support 上的貼文,ap12 自述加入犯罪組織「黑貓伺服器」之後,被威脅不得離開,為了阻止組織只好自爆;在已被下架的論壇上,有一篇文章則是通牒 ap12 在 2/1 之前必須離開「黑貓伺服器」,否則將汙染搜尋結果。兩篇文章看似互相矛盾,有人分析 ap12 的身分很有可能是被盜用了。無論原因是兩方起爭執,還是取得了惡意程式的 skid (script kid) 所為,這波 spam 的規模在 fediverse 前所未見。
黑貓 spam 的演變與應對手段
對於文字類型的 spam,Pleroma 系的 MRF (Message Rewrite Facility)、Misskey 在 2/17 發布的 v2024.2.0 支援的禁語功能都可以輕易阻擋,對於 Lutica 提到以關鍵字為基礎的對策,遇到將文字圖片化的情況將會失效,ap12 的貼文回應預告了即將改用圖片。
第二波 spam 是「地獄串 (hellthread)」的形式,也就是在貼文裡提及許多帳戶,貼文內容僅有數字「1」或者甚至沒有,顯然不適合讓我們用來做為關鍵字使用。
Pleroma 的 MRF 仍然可以利用 hellthread policy 擋掉,其他平台就只能在前端更改接收通知的對象,從「全部」改為「追隨中」、「追隨者」或「互相追隨」,將來自沒有追隨關係的提及靜音,意即不會收到通知,但是在通知列表中仍然可以看到。
和第一波不同,沒有提供任何資訊,也就無法用來宣傳或者中傷,因此我推測這可能只是個測試。在這之後的 spam 訊息,果然改為附了圖片的 hellthread:
上面這個圖片是用「想要5000兆元!」迷因的梗圖製作器所產生,
這個直接用上了 SPAM 罐頭,不得不說很有創意。
黑貓 spam 從 Misskey 伺服器開始,散播到聯邦宇宙中占多數的 Mastodon 實例,許多是開放註冊甚至沒什麼在管理,可能被灌爆了流量都還不知道。起初,管理員們的應對方式都是封鎖 spam 帳號的網域、將自己的站關閉註冊等,然而隨著規模擴大,人工處理漸漸變得難以負荷,甚至有的站對外的聯邦通訊改採許可名單制。悲觀的人認為聯邦宇宙將會像 email 一樣演變,➀ 只有足夠規模的站有能力處理 spam 問題 ➁ 許可名單制會使得聯邦宇宙變得中心化,剩下少數幾個大站。架設電子郵件伺服器本身並不困難,困難的是處理 spam,以及讓別人能收到你寄出的信。由於垃圾信件過於猖獗,大型的郵件服務供應商逐漸從封鎖名單轉換到許可名單,使得小型、個人郵件伺服器要花費很大的心力說服網路巨頭把自己的網域放入許可名單。然而網路巨頭並沒有動機這麼做,因為這樣可以把「使用網路巨頭的郵件服務才能收到信」的印象轉變為事實,這就是現在電子郵件的情況。不過,對於聯邦宇宙我沒有那麼悲觀。
Misskey、Mastodon 後台的管理工具無法應對圖片 spam 的狀況,人工封鎖防不勝防。如同餅乾米站長的現代問題現代解決一文,用 script 產生的 spam 帳號就要用 script 來辨別。SEDI 站在安裝了 Fediverse Security Manager 並設定關鍵字與圖片的 MD5 之後,基本上就不再被黑貓 spam 給困擾了。
不可否認,上述的手段必須因應 spam 內容的變化做調整才會有效,應該也要從系統的角度思考如何避免「短時間內大量註冊帳號並大量發布貼文」這樣的情況。在開放註冊的前提下,開啟 Captcha 只是基本,現在已經到了 bot 比人類能更快解開 Captcha 的地步。經歷過 BBS 時代的人,一定會有剛註冊的帳號在一定時間內不能發文的經驗。利用 Misskey 的「角色」功能,可以設定註冊滿一定時間之前無法發布公開貼文,還能組合「遠端使用者」,以及「追隨人數」、「追隨者人數」閾值等條件。雖然無法避免 spam 帳戶的出現,被提及的使用者仍會收到通知,但這樣的冷卻時間無疑會減緩 spam 傳遞的速度,讓 spam 貼文比較不容易污染本地時間軸和聯邦時間軸。
由於大量的 spam 帳號是在開放註冊但缺乏管理的 Mastodon 上, 2/23 釋出的 Mastodon v4.2.8、v4.1.16 版預設為關閉註冊。雖然缺乏管理的實例也不常更新,至少可以減少未來新實例被大量 bot 用來發布 spam 貼文的情況。一個聯邦宇宙實例的運作,需要域名、主機、儲存空間,這些都需要花費金錢與時間,許多管理員基於善意開放自己的伺服器提供免費使用,但如果缺乏管理遭到濫用,反而會帶來困擾。除了惱人的 spam、域名的風評受損,主機的流量、空間也可能會被灌爆而造成金錢的損失。