I-XRAY 是什麼
2024 年 9 月,哈佛大三學生 AnhPhu Nguyen 和 Caine Ardayfio 建立名為 I-XRAY 的系統,將消費級智慧眼鏡、反向人臉搜尋引擎和公開資料仲介網站串連起來,即時辨識陌生人。他們在波士頓大眾運輸上展示——看向某人,約 90 秒後在手機螢幕上看到該人的姓名、住家地址、電話號碼和雇主。
他們於 2024 年 9 月 30 日在 X 上發布示範影片,標語是:「我們準備好迎接一眼就能暴露資料的時代了嗎?」到 10 月中旬,影片觀看次數超過 2,000 萬。404 Media、The Verge、Ars Technica、Forbes 和 Harvard Crimson 都報導了這個故事。
學生明確表示絕不會公開程式碼。這是一個示範專案,旨在展示用現成公開工具已能做到什麼——並推動人們從使這一切成為可能的資料庫中選擇退出。
技術上如何運作
I-XRAY 不是單一軟體,而是現有服務的管線,沒有一項是為此目的而建:
步驟 1——擷取。 Ray-Ban Meta 眼鏡(第 2 代)將影片即時串流至 Instagram Live。筆電程式監控即時串流,從影片擷取人臉影像。
步驟 2——反向人臉搜尋。 人臉影像上傳至 PimEyes,一家位於喬治亞第比利斯的反向人臉搜尋引擎。PimEyes 回傳公開索引照片中與該臉部相符的網址——不是姓名,而是該臉部出現過的網頁連結。
步驟 3——身分擷取。 大型語言模型從這些網址擷取文字,從非結構化網頁推斷姓名、職業、學校等資訊。
步驟 4——資料仲介查詢。 有了姓名,系統查詢公開人物搜尋網站——FastPeopleSearch、CheckThem、Instant Checkmate——取得住家地址、電話號碼、年齡和親屬。
步驟 5——可選的更深層查詢。 有了電話號碼,系統可查詢 Cloaked.com 等服務,取得部分社會安全號碼數字。
所有處理都在外部電腦上進行,不在眼鏡上。眼鏡只是一台看起來像普通眼鏡的相機——這正是重點。Nguyen 告訴 Business Insider,同樣的管線適用於任何相機,包括智慧型手機。眼鏡使其隱密。
為何眼鏡是核心
學生特別選擇 Ray-Ban Meta 第 2 代,因為它們「幾乎與普通眼鏡無法區分」。在火車上對著某人舉起手機很顯眼。看起來像眼鏡的眼鏡則不然。
他們還遮蓋了錄影指示 LED,使掃描完全隱形——這一細節預示了 20 個月後 Joanna Stern 的 LED 篡改調查。
Meta 如何回應
Meta 的聲明在多個媒體重複:
「澄清一下,Ray-Ban Meta 眼鏡沒有臉部辨識技術。據我們所知,這些學生只是在電腦上使用公開可用的臉部辨識軟體,該軟體適用於任何相機、手機或錄影裝置拍攝的照片。」
Meta 強調三點:眼鏡不在裝置上執行臉部辨識;存在使用者無法停用的擷取 LED;服務條款禁止 LED 篡改。學生當然只是遮住了 LED。
PimEyes 如何回應
2025 年 1 月,PimEyes 執行長 Giorgi Gobronidze 告訴 Snopes,公司「未參與」I-XRAY,且「不支持此類實驗」。PimEyes 表示已關閉八個可能與專案相關的帳號,學生使用的是個人帳號——公司未授予 API 存取權。
PimEyes 還堅稱其服務不會「辨識」人。它回傳出現相符臉部的網頁連結。技術上準確,實務上無關——連結指向包含姓名的頁面。
之後發生了什麼
未公開程式碼。 學生拒絕所有請求。Snopes 於 2025 年 1 月確認工具未在積極維護,最後一次完全運作是在 2024 年 11 月。
無記錄的模仿者。 儘管爆紅,截至 2026 年 7 月,所有報導中未發現 I-XRAY 的公開重新實作。
學術參與。 哈佛法學院圖書館創新實驗室於 2025 年 1 月與 Jonathan Zittrain 教授舉辦午餐會,討論專案和選擇退出指引。
立法動能。 沒有美國法案明確點名 I-XRAY,但示範成為 2026 年智慧眼鏡隱私立法的參考點。加州 SB 1130(2026 年 2 月提出)將在商業場所秘密穿戴錄影刑事化,並針對停用錄影指示燈的硬體。賓州 HB 2603(2026 年 6 月提出)要求智慧眼鏡有可見的錄影指示燈。
NameTag 的關聯
2026 年 6 月——I-XRAY 之後 20 個月——WIRED 在 Meta AI 應用程式(5,000 萬次下載)中發現名為「NameTag」的休眠臉部辨識程式碼。程式碼包含臉部偵測、臉部特徵生成,以及可辨識先前遇見過的人的比對系統。
I-XRAY 和 NameTag 技術上是不同系統。I-XRAY 使用第三方反向人臉搜尋辨識陌生人。NameTag 使用裝置上生物特徵臉部特徵辨識配戴者先前見過的人。但軌跡相同:使智慧眼鏡對攝影和 AI 助理有用的外形,正是未經同意即可進行監控的外形。
Meta 在 WIRED 報導後 24 小時內從應用程式移除幾乎所有 NameTag 程式碼,此前有公眾反彈和 ACLU 領導的 75 個組織聯署信。
I-XRAY 對偵測的意義
I-XRAY 管線需要眼鏡即時串流至 Instagram——意味著眼鏡透過 Wi-Fi 和 Bluetooth 積極傳輸。整個管線依賴眼鏡與配對手機之間的無線通訊。
這正是無線電偵測讀取的訊號。Glasses Radar 不試圖判斷另一端是否正在執行臉部辨識。它偵測具備攝影功能的眼鏡在附近且正在通訊——每種 I-XRAY 式攻擊的前提條件。
學生自己的選擇退出建議是從 PimEyes 和資料仲介網站移除自己。這是好建議,值得去做。但這是事後防禦——它減少辨識嘗試的損害,卻無法告訴你有人正在嘗試。意識到攝影眼鏡在場,是第一道防線。
如何從 I-XRAY 使用的資料庫選擇退出
學生發布了含選擇退出說明的 Google Doc。核心步驟:
- PimEyes — 在 pimeyes.com/en/opt-out-request-form 要求從索引中移除你的臉部
- FaceCheck.ID — 提交下架請求
- FastPeopleSearch — 造訪 fastpeoplesearch.com/removal 並填寫表單
- CheckThem — 在 checkthem.com/optout 要求移除
- Instant Checkmate — 使用 instantcheckmate.com/opt-out
這些移除可減少你的曝光,但不是永久性的。資料仲介會重新索引公開紀錄。選擇退出是持續任務,不是一次性修復。
結論
I-XRAY 在 2024 年展示了許多隱私研究人員多年來警告的:看起來像普通眼鏡的消費級智慧眼鏡,結合免費可用的臉部辨識工具和未受監管的資料仲介,使任何有動機串連這些工具的人都能即時辨識陌生人。
程式碼從未公開。管線已不再維護。但每個元件仍然存在且仍可公開存取。PimEyes 仍在運作。資料仲介仍在販售紀錄。眼鏡的銷量比示範爆紅時更高。
I-XRAY 建立的威脅模型不是假設。它在火車上、在鏡頭前展示,被數千萬人觀看。