一提到“跨站追踪”，很多人首先会想到Cookie、Canvas指纹，甚至近期热门的Supercookie。但如今，一种更为隐蔽的技术悄然浮出水面——它无需你点击任何按钮，无需授权任何权限，甚至无需你离开当前浏览的页面。只需你曾经打开过一次恶意网页，你的硬盘与设备便能在悄无声息之间被彻底“读取”清楚。

这项技术名为FROST，全称为基于OPFS的固态硬盘时序远程指纹识别。简单来说，它利用了固态硬盘在处理读写操作时所表现出的瞬时“响应速度”差异——在跨站追踪领域，这是全球首次披露的重要发现。

FROST是如何实现的？它借助了浏览器内置的源私有文件系统（OPFS）——一个专为高性能Web应用设计的沙盒存储API。攻击者仅需植入一段轻量级的JavaScript脚本，便可在后台持续、静默地测量固态硬盘的I/O延迟变化。整个过程完全无声无息，不产生任何弹窗提示，也无需任何用户交互。

更具体地说：恶意页面会在你的浏览器中创建容量高达1GB甚至更大的OPFS文件，然后反复发起随机读取操作，并精确记录每次读取所需的时间。当你的其他浏览器标签页或本地应用也在对同一块固态硬盘执行读写任务时，硬件资源的竞争会引发可检测的延迟波动——就像一条拥挤的双向车道，读写任务越多，车流自然变慢，每次读取的耗时便出现规律性的起伏。研究者发现，这些波动模式不仅稳定，而且带有强烈的应用特征，足以用来建立独特的“硬盘时序指纹”。

研究团队将这些采集到的时序轨迹数据输入到预训练的卷积神经网络模型中进行分类分析，成功实现了对多款常见网页应用及桌面程序的识别与区分。实验已在搭载M2芯片的Mac设备上完成了端到端验证，并在Linux系统中确认了底层技术路径的可行性。至于Windows平台，适配测试目前尚未开展。

说实话，从技术角度看，这确实令人感到不安——跨站点追踪发展至今，已接近“物理层面”的攻击手段。但这项技术并非没有软肋。它存在几个现实约束：首先，它依赖生成超大体积的OPFS文件——1GB起步，普通用户即使不打开任务管理器，也可能因存储空间被“吃掉”而察觉异常；其次，它仅在目标应用与攻击脚本共享同一物理固态硬盘时才有效。如果你运行的应用安装在独立的移动硬盘或外置U盘上，那么这条通道就会被堵住。

还需要强调一点：截至目前，还没有公开证据表明FROST技术已被实际用于网络攻击场景。它的研究价值目前更多停留在学术层面，但这不代表我们不应该提前做好防范。

那么，如何防范？对浏览器开发方而言，最直接有效的措施是先对OPFS单个文件的容量上限做出合理限制。对普通用户来说，有两个习惯值得养成：一是及时关闭不必要且长时间未操作的标签页；二是如果发现浏览器或网页突然提示申请大量本地存储，且来源不明，那就需要多加留意了。

这项研究成果计划于2026年7月在DIMVA国际学术会议上正式发表。当然，在此之前，它已经在许多安全团队中引发了不小的讨论。