1. 事件回顾
所有的开发者都知道,在软件开发中存在一个 开发者模式 的概念。
通过 开发者模式,通常可以帮助开发者进行设备调试、性能优化和定制化操作。而这种操作,在 APP 中,一般是只有 内部程序员 才可以进行查看和控制的。
但是,最近 小红书 暴露出 开发者模式 泄露的问题:任何用户都可以直接在 我 -> 设置 中,一直点击顶部设置按钮,进入开发者模式之中。
被社区称为“P0 级事故”。
2. 泄露内容
开发界面不仅提供了日志、抓包和网络代理开关,还暴露了数据库表结构、推荐算法参数和多项内部服务地址,泄露内容主要包括:
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3. 事故成因推测
尽管小红书官方未立即发布事故原因,但技术分析认为这次极有可能是低级人为失误造成的。开发环境的代码或配置泄露到了生产环境,比如写代码时把 环境配置搞错了!线上生产环境也开启了开发者工具。就像厨师在后厨做菜,不小心把做菜的工具端到客人面前,概率极低。
4. 影响评估
这次事故有多严重?这就好比一辆汽车,普通用户只能开它。但“开发者模式”就像是把汽车的引擎盖打开,还把维修工具箱和行车电脑的密码都给你了,等于把小红书底裤给扒了,平台“自行开盒。这本来是给小红书自己内部的技术人员(程序员、测试员)在App正式上线前调试、找问题用的工具。现在直接暴露在普通用户面前,懂技术的人(比如黑灰产、黑客和大数据从业者)可以轻易地利用这个模式,像拆解玩具一样研究小红书的内部运作,找到安全上的漏洞。
图:注意看图中“人群信息”标记,用户数据打点全暴露了。
|
|
|
|---|---|
| 业务安全 |
|
| 用户隐私 |
|
| 合规/监管 |
|
| 品牌形象 |
|
5. 行业教训
移动互联网早期常见的“debug 泄露”在 2025 年依旧重演,证明安全左移与防御纵深依旧是 App 生态的硬刚需。对于年活过 3 亿、商业化高速推进的小红书,这次事故是一记及时而沉痛的警钟:当技术栈愈加复杂、交付节奏愈加紧凑,唯有把安全内建到工程文化中,才能守住最后的护城河。
4月29日12时25分,辽宁辽阳市白塔区三里庄回迁楼附近一饭店发生火灾。截至当天14时,事故已造成22人死亡、3人受伤,3名伤者经全力抢救,均无生命危险。 国务院安委会已对事故查处挂牌督办,应急管理部派出工作组指导调查。 据目击者描述,火灾初起时,饭店…