這是上班摸魚刷視頻的你。你一定覺得自己藏得很好，但公司早就一清二楚：

2021 年，國美在一份處罰通報(bào)中點(diǎn)名多位員工，他們用了哪些 App 摸魚、消耗了多少流量，都列得明明白白。

除此之外，你應(yīng)該還看到過很多大廠以員工摸魚、泄密為由，扣錢甚至“畢業(yè)” 開除的新聞。也聽說過只要使用公司的設(shè)備，甚至接入公司的 Wi-Fi，就會(huì)被監(jiān)控。

所以你是怎么不知不覺被監(jiān)控的？公司到底能看到你的哪些信息？

視頻版

↓↓ 看完這個(gè)視頻就知道了 ↓↓

↑↑ 信我，真的超級(jí)好看 ↑↑

圖文版

首先，不管你是用公司發(fā)的還是自己的手機(jī)電腦，只要連了公司 WiFi，那監(jiān)控你看過哪些網(wǎng)站，用了哪些 App，都非常簡(jiǎn)單，只要一個(gè)稍微專業(yè)點(diǎn)的路由器就行。

目前主流的網(wǎng)站都使用了 HTTPS 協(xié)議。正常情況下，網(wǎng)站傳到你屏幕上的內(nèi)容是加密的，任何人都無法偷窺。

但當(dāng)你點(diǎn)擊一個(gè)鏈接時(shí)，瀏覽器需要先發(fā)送一段明文信息，告訴服務(wù)器你要訪問哪個(gè)網(wǎng)站，然后才能建立加密連接：這一步叫做 “SNI”。

只要一臺(tái)普通企業(yè)路由器，就可以像這樣輕松地從 SNI 信息中分析出你的設(shè)備打開了什么網(wǎng)站、看了多長(zhǎng)時(shí)間。

而且哪怕你是用自己的手機(jī)連接了公司 Wi-Fi，然后打開了淘寶，那路由器一樣能記錄下來。雖然它并不知道你到底看了哪些商品，但拿到你摸魚的證據(jù)完全夠了。

本期策劃小卡的家里，就新?lián)Q了一臺(tái)這樣的路由器，可以精準(zhǔn)記錄每臺(tái)接入設(shè)備用了哪些網(wǎng)站和 App。

在看完這個(gè)頁面后，他寧愿用自己的流量，以后也不在公共場(chǎng)合或者別人家里連 Wi-Fi 了。

順便提醒下，學(xué)校里的校園網(wǎng)，也都有類似功能......

再順便提醒下，這些流量記錄可沒辦法通過清理瀏覽器歷史記錄來消除哦～所以……不要看什么不好的東西～

非要看的話……那務(wù)必開一個(gè)全局 VPN。這樣路由器只能記錄到你通過 VPN 訪問了某些網(wǎng)站，但并不知道具體是哪些。

快說謝謝。

還有一些公司，會(huì)用更高級(jí)的、擁有 “證書解密” 功能的企業(yè)級(jí)路由器，那能看到的信息就更多了：

在你訪問網(wǎng)站的時(shí)候，網(wǎng)站會(huì)向?yàn)g覽器發(fā)送一個(gè)加密的 “證書”，你的電腦、手機(jī)等設(shè)備會(huì)用自己內(nèi)置的證書中的 “密鑰” 去解密、核對(duì)，確定這是真網(wǎng)站才會(huì)傳輸信息。

一般來說，電腦只認(rèn)權(quán)威機(jī)構(gòu)頒發(fā)的證書。但公司為了掌控信息，可以在你的設(shè)備中悄悄安裝一個(gè) “根證書”，植入一個(gè)自己的密鑰。然后網(wǎng)站發(fā)來的信息，會(huì)被路由器解密后重新加密，順便更換證書，一起發(fā)給瀏覽器。

此時(shí)瀏覽器會(huì)誤以為這就是真網(wǎng)站，開始傳輸信息，實(shí)際上是傳給了路由器，再由路由器傳給網(wǎng)站。這樣一來，路由器就完成了一個(gè) “兩頭騙” 的工作，可以審查你和網(wǎng)站之間交流的所有信息.....包括密碼、聊天記錄、搜索記錄......

這種方式，在黑客界叫做 “中間人攻擊”。在公司界叫做……一個(gè)常見的管理方案。

不過這種方式很消耗硬件資源，可能影響上網(wǎng)體驗(yàn)，耽誤牛馬的產(chǎn)出速度。另一方面，它基本只能監(jiān)控瀏覽器，能看到的東西還是不夠多。

既然都能在員工的電腦上裝東西了，那不如順手裝點(diǎn)更厲害的咯：

比如真正的 “企業(yè)安全軟件”。這些專業(yè)軟件，能看到的東西可比路由器多多了，基本相當(dāng)于 “直播辦公”。

而且絕不止是大廠才能開發(fā)這些軟件，小公司也可以直接采購第三方產(chǎn)品。比如我們隨手找了一個(gè)產(chǎn)品官網(wǎng)，其中的監(jiān)控功能大致可以分為 3 類：

遠(yuǎn)程監(jiān)控：也就是讓軟件在后臺(tái)時(shí)不時(shí)截個(gè)圖、錄個(gè)屏。想讓你 “畢業(yè)” 的時(shí)候，直接有圖有真相。

第二類是文件系統(tǒng)過濾驅(qū)動(dòng)：就是監(jiān)控文件系統(tǒng)的輸入輸出（I/O）請(qǐng)求，任何一個(gè)程序要讀取硬盤上的文件，它都要檢查文件里有沒有敏感信息。

我有一位朋友在離職時(shí)用 U 盤從工作電腦中拷走了一些材料，隨后立刻收到了上級(jí)發(fā)來的文件清單；還有些公司直接禁用了 USB 傳輸功能。它們都是通過這種方式實(shí)現(xiàn)的。

而真正記錄下你的“一舉一動(dòng)”的，是這些第三類功能：它們的核心原理是 “內(nèi)存注入”。

舉個(gè)例子：微信等通訊軟件在傳輸聊天內(nèi)容時(shí)，用的是自己開發(fā)的私有協(xié)議，不受什么根證書的影響；公司如果強(qiáng)行解密聊天記錄文件，還涉及違法。

但不管通訊軟件怎么加密，最終展示到你聊天框里的，一定是解密后的明文信息。這些些明文信息會(huì)臨時(shí)儲(chǔ)存在電腦的內(nèi)存里，而企業(yè)監(jiān)控軟件會(huì)在內(nèi)存中注入一個(gè) “鉤子”，讀取這些聊天記錄，并儲(chǔ)存起來。

這么一來，你的聊天記錄，甚至連撤回的信息都可以被抓到。你跟同事一起吐槽老板，上班時(shí)偷偷看招聘網(wǎng)站，都可能被記錄下來。

2022 年，就有公司使用了深信服的 “員工行為監(jiān)測(cè)系統(tǒng)”，通過分析的員工聊天記錄、訪問求職網(wǎng)站、投遞簡(jiǎn)歷等行為，來判斷離職和跳槽傾向。

雖然在事情鬧大后，深信服宣布下架了這款軟件，但類似的其他產(chǎn)品并不難找，任君選購。

再順便一說，這類軟件的原理，跟你常聽說的 “木馬” 可以說是一模一樣。只不過木馬需要避開你和殺毒軟件的視線，但這些軟件有正規(guī)的簽名證書，公司還可以提前在殺毒軟件里設(shè)置白名單。所以，它們就是公司養(yǎng)在電腦中用于監(jiān)控員工的 “合法木馬”。

那如果......換成手機(jī)呢？

好一點(diǎn)，但也能監(jiān)控。

目前的 iPhone 和 Android 手機(jī)，都采用了沙盒機(jī)制（sandbox）。也就是每個(gè) App 獨(dú)立運(yùn)行，相互隔離。

但這個(gè)沙盒機(jī)制，也不是不能突破……

比如 Android 系統(tǒng)自帶的 “無障礙服務(wù)” ，原本是用來幫視障人士讀取信息、監(jiān)控輸入的而監(jiān)控軟件一旦獲取這個(gè)權(quán)限，就能把你看個(gè)精光。

像全球知名的企業(yè)網(wǎng)絡(luò)監(jiān)控軟件 Veriato 就明確在官網(wǎng)上說，Android 版需要獲取 “無障礙服務(wù)” 的權(quán)限。

但在 iPhone 上，第三方軟件無法獲取 “無障礙服務(wù)”權(quán)限。公司只能通過 VPN、植入自定義根證書等方式，來監(jiān)控員工的瀏覽器和 App 的訪問記錄。

對(duì)了，如果是一些更有錢的大公司，那絕對(duì)不放心把這種系統(tǒng)交給別人，所以基本都會(huì)自研相關(guān)軟件，提前部署到每一臺(tái)公司設(shè)備上。而且還可以把這套方案賣給其他公司來創(chuàng)收……

這些自研軟件該有的功能全都有，而且權(quán)限更高，深植于系統(tǒng)底層，無法自行關(guān)閉，主要目的之一是防泄密。

在大廠每個(gè)月的通報(bào)里，總有一些員工因泄密而被處罰甚至辭退。為了防泄密，這些軟件可以給屏幕加上無痕水印，不管是截圖還是拍照，都能追蹤到源頭。

2016 年，阿里的“內(nèi)網(wǎng)秒殺月餅”事件中，就有員工將內(nèi)部處罰通告截圖外傳。有媒體報(bào)道說，阿里完全可以通過其中的無痕水印找到截圖者。

所以總結(jié)一下，對(duì)于大部分公司來說，想監(jiān)控你的上網(wǎng)流量、摸魚行為，并不困難，可能只是一臺(tái)路由器的事兒。就算想監(jiān)控你的頁面內(nèi)容，聊天記錄，也早就有成熟的方案。

所以如果你用的是公司下發(fā)的工作設(shè)備，或者在自己的設(shè)備上安裝了特定的公司內(nèi)部軟件，那確實(shí)要謹(jǐn)慎一些。雖然大部分時(shí)候公司都是睜一只眼閉一只眼，但只要哪天它想，就有能力掌握證據(jù)。

不過最后，還有一個(gè)問題：公司這么做，真的合法嗎？

很遺憾，只要提前告訴過你，那就合法。

很多公司在勞動(dòng)合同、員工須知、崗前培訓(xùn)中都明確規(guī)定過：不要截圖泄密，不要在工作設(shè)備和工作環(huán)境中做和工作無關(guān)的事，你的工作成果全部屬于公司。

一旦簽了合同，公司就有理由監(jiān)控你的工作設(shè)備。

2024 年，曾有字節(jié)員工質(zhì)疑“飛連”在后臺(tái)截圖。字節(jié)明確回應(yīng)，這是為了保障數(shù)據(jù)安全，而且所有操作都是在用戶同意后進(jìn)行的。之后也就沒有下文了。

所以如果你非常在意這種監(jiān)控，那千萬不要在工作設(shè)備上處理私人事務(wù)。

為了混口飯吃，工作成果可以賣給你。但牛馬的隱私……那是另外的價(jià)錢～

當(dāng)然，其實(shí)還有另一個(gè)選擇：就是放棄高薪，去一些沒心思也沒能力搞這一堆手段的小公司上班——比如柴司，監(jiān)控員工基本靠走，督促員工基本靠吼……