2026-05-14 12:03:35 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档系统阐述开源情报（OSINT）的核心价值与方法论，强调信息需经验证、关联和解释才能转化为有效情报。文章通过MH17事件等案例解析元数据提取、逆向图像搜索、地理定位、暗网追踪四项核心能力，提出三层转化法结构化处理信息，并指出法律合规与伦理边界是OSINT实践的关键约束。作者建议采用明确问题导向、多源验证、时间线梳理的工作流，并警示AI时代需保持方法论主导以避免误判。 综合评分： 85 文章分类： 威胁情报,安全工具,安全意识,实战经验,技术标准

cover_image

其实每个人都能成为情报分析师，但99%的人都不会用

DMT DMT

情报分析师

2026年5月13日 15:30 辽宁

在小说阅读器读本章

去阅读

2024年3月，华盛顿放出了一份只有十几页的文件，名字不算吓人，叫《美国情报界开源情报战略：2024—2026》。文件由美国国家情报总监办公室和中央情报局联合发布，里面有一句话很关键：OSINT，是“完全来自公开或商业可获得信息、用于回应特定情报优先事项、需求或缺口的情报”，而且它对美国情报界任务“至关重要”。

这句话如果翻成大白话，就是：今天的情报工作，已经不再只靠密室、密电、线人和卫星。大量有价值的线索，就摊在互联网上，照片里，地图里，招标文件里，社交媒体里，船舶航迹里，商业数据库里，甚至一张被人随手上传的街景照片里。

但别急着兴奋。

我这些年见过太多人一上来就迷恋工具，装一堆插件，收藏一堆网站，打开暗网链接，下载所谓“终极工具包”，然后觉得自己已经半只脚迈进情报界了。

其实这恰恰是最危险的时候。

OSINT最危险的陷阱，不是找不到信息，而是找到了太多信息。真正区分情报分析师和普通研究员的，不是你能搜到多少网页，而是你能不能在信息洪流里识别真正的信号。

今天这篇文章，我不想把OSINT讲成玄学，也不想把它讲成黑客教程。我们就从几个真实案例和一套可操作的方法讲起：互联网时代，每个人都可能接触情报线索，但99%的人没有把线索变成情报的能力。

信息不是情报，经过验证、关联和解释的信息，才是情报。

2014年7月17日，马来西亚航空MH17航班在乌克兰东部上空被击落，机上298人遇难。这个事件后来成为开源调查史上的一个标志性案例，因为Bellingcat等调查者利用公开视频、照片、社交媒体帖文、地图和卫星图像，追踪了一套“山毛榉”防空导弹系统的移动轨迹。

CBS在2020年的报道中提到，Bellingcat团队使用Google Maps、Google Earth以及网上发布的影像资料，将导弹系统一路追踪到俄罗斯库尔斯克附近的军事基地，并通过图像中的独特物体与卫星图像比对完成地理定位。

这个案例的关键，不是“网上有照片”。网上有照片的人太多了。

关键在于，他们把照片里的路灯、树线、建筑轮廓、道路转弯、车辆阴影、天气状况，跟地图和卫星图像一层层对上。

普通人看到的是一段视频，分析师看到的是坐标、时间、路径和行为模式。

这就是OSINT的第一条铁律：不要问“我能找到什么”，先问“我要证明什么”。

很多人做开源调查，第一步就错了。他们一打开搜索引擎，就输入一个大词，然后被几百万条结果淹死。真正的情报流程不是这样。真正的流程，是先写下一个清晰的情报问题。

比如，不要问：“某地发生了什么？”这个问题太大。要问：“这张照片是否拍摄于某城市？”“视频中的车辆是否出现在同一路线？”“这个账号声称的发布时间是否可信？”“这家公司宣称的办公地点是否真实存在？”问题越具体，收集越有效。

我通常让学员先写四句话。

第一句：我现在要判断什么。
第二句：如果它是真的，应该出现哪些证据。
第三句：如果它是假的，可能露出哪些破绽。
第四句：哪些证据能推翻我现在的判断。

这四句话，比你收藏100个工具都有用。

OSINT的四项核心能力

元数据提取

OSINT的核心能力，第一项是元数据提取。很多数字照片里会包含EXIF信息，包括拍摄时间、设备型号、镜头参数，有时还包括GPS坐标；EFF曾在一篇隐私说明中指出，智能手机照片可能把GPS坐标写入EXIF元数据，FBI也曾利用照片EXIF信息定位照片拍摄地点。

但这里有个坑。很多社交平台会压缩图片、删除元数据，转发链路也可能改变文件结构，所以EXIF存在不等于一定可靠，EXIF不存在也不等于图片没有价值。

2025年一项关于EXIF法证价值的研究指出，USB和电子邮件等直接传输方式更容易保留EXIF字段和文件哈希，而聊天软件的图片压缩和图片模式转发往往会移除元数据、改变文件完整性。

所以，实操时我会这样做：

拿到一张原始图片，第一步不是急着判断真假，而是保全证据。保存原文件，记录获取网址、获取时间、上传账号、页面截图。如果条件允许，计算文件哈希值，避免之后被人说你改过文件。
第二步才是读取元数据，比如用ExifTool、Metadata2Go或本地法证工具查看GPS、拍摄时间、设备型号。
第三步是交叉验证：拍摄时间是否符合天气、光影、事件时间线？GPS坐标是否与图像内容一致？设备型号是否与账号历史内容吻合？

如果EXIF显示照片在伦敦拍摄，但画面里出现了不可能在伦敦出现的道路标识，别急着宣布“造假”。先考虑几种可能：文件被二次编辑，时间设置错误，平台修改元数据，或者图片本身来自旧素材。

分析师最忌讳的是一眼定生死。情报判断不是法庭宣判，它要保留不确定性。

逆向图像搜索

第二项核心能力，是逆向图像搜索。

逆向图像搜索的目的，不是找“相似图片”这么简单，而是回答三个问题：这张图最早出现在哪里？它是否被移花接木？它是否属于另一个事件、另一个地点、另一个时间？

Bellingcat在2024年介绍过一个细节很有意思：Google Maps图片文件名有时能提供线索，例如文件名前缀可能暗示设备类型，日期格式可能暗示拍摄时间；他们在调查一个公司地址与团队活动地点之间的关系时，曾通过逆向图像搜索发现图片实际拍摄地与公司公开地址不一致，再结合文件名线索推进判断。

这类工作看起来很小，甚至有点笨。但情报世界里，很多突破就是靠这种笨功夫。一个文件名，一个旧网页快照，一个被删除前的缓存页面，一个照片角落里的店招，可能比一篇长篇分析更接近事实。

具体怎么做？

把图片分别丢进Google Lens、Yandex Images、Bing Visual Search、TinEye，不要只用一个工具。不同搜索引擎的索引范围不一样，尤其在地理、语言、图片相似度算法上差异明显。
找到相似图后，不要只看标题，要打开原页面，记录发布时间、页面语言、图片尺寸、是否有裁剪痕迹。接着查最早出现版本，比较边缘区域、色彩压缩、文字水印、阴影方向。

如果你看到一张“现场照片”，最早版本却出现在三年前另一场事件的报道里，那它就不再是现场证据，而是叙事武器。很多舆论战，就是靠旧图新用、局部裁剪、错误字幕、断章取义完成的。

地理定位分析

第三项能力，是地理定位分析。

地理定位不是“看一眼像哪里”。它是一种把图像拆成证据点的训练。道路标线、路牌字体、车牌样式、植被、山形、建筑材料、太阳角度、商店招牌、垃圾桶样式、空调外机位置，都是线索。

Bellingcat还发布过OpenStreetMap搜索工具，用来帮助研究者从开放地图数据中寻找地理定位线索和调查起点。

我给初学者的训练方法很简单：别一上来就查战争视频，先拿一张普通街景照片练。

把画面分成前景、中景、背景三层。前景看路面、车道、招牌；中景看建筑、店铺、交通设施；背景看山体、天际线、塔吊、烟囱、宗教建筑。

每找到一个线索，就问一句：这个线索能排除哪些地方？能缩小到国家、城市、街区，还是只能提供模糊方向？

优秀的地理定位，不是凭一个“神秘线索”突然破案，而是不断排除。排除比确认更重要。你看到棕榈树，不等于一定是热带国家；你看到英文招牌，也不等于一定是英语国家；你看到某种车牌颜色，也要确认它在当地是不是普遍规则。情报分析师要习惯跟自己的直觉作对。

不要猜地点，要逐项排除；地点不是看出来的，是验证出来的。

暗网追踪

第四项能力，是暗网追踪。

一提暗网，很多人就兴奋，仿佛打开Tor浏览器就能进入情报金矿。现实没那么浪漫。暗网里充满诈骗、诱导、重复信息、执法钓鱼风险和恶意软件风险。对大多数普通研究者来说，暗网不是猎奇场，而是高风险证据环境。

2023年，欧洲刑警组织协调“Operation SpecTor”，涉及九个国家，查封非法暗网市场Monopoly Market，并逮捕288名涉嫌在暗网买卖毒品的人员，缴获超过5080万欧元现金和虚拟货币、850公斤毒品和117支枪支。

这个案例说明两件事：

第一，暗网不是法外之地。
第二，暗网调查的关键往往不是“我看见了一个帖子”，而是账号、钱包地址、PGP密钥、物流痕迹、用户名复用、论坛声誉、交易时间线之间的关联。

如果你做的是合法合规的研究，暗网追踪要遵守几个底线：不购买非法商品，不参与交易，不诱导犯罪，不下载不明文件，不接触个人敏感数据，不把未经核验的泄露数据当事实。研究暗网更像做污染区采样，必须有隔离环境、记录流程和法律意识。

很多人问我：普通人能不能做暗网OSINT？我的回答是，能学原理，但不要轻易实操。你可以研究公开执法通报、法院文件、区块链浏览器、已公开泄露样本的哈希指标、网络安全公司报告，但不要把自己变成案件的一部分。

信息变情报的三层转化法

说到这里，我们要回到OSINT最核心的问题：信息如何变成情报？

信息是碎片，情报是结构。你看到一个帖子，是信息；你确认它的来源、时间、地点、动机，再把它放进更大的事件链条里，它才可能成为情报。没有结构的信息，只会让人更焦虑。

我在课堂上常讲“三层转化法”。

第一层：事实层

它回答“发生了什么”。这层只允许写可核验事实，比如某机构发布了什么文件，某平台出现了什么图片，某执法部门公布了什么数字。事实层最忌讳形容词泛滥。

能写“3月7日发布”，就不要写“突然发布”；能写“文件列出四个重点方向”，就不要写“释放重大信号”。

第二层：判断层

它回答“这意味着什么”。判断可以有观点，但必须能被事实托住。

比如美国情报界OSINT战略列出的四个重点包括协调开源数据获取与共享、建立综合开源收集管理、推动OSINT创新、培养下一代OSINT队伍与技艺；这些重点说明美国情报体系已经把开源情报从辅助工具提升为体系化能力建设对象。

第三层：推演层

它回答“接下来可能怎样”。推演必须带条件，不要写成预言。比如可以说：如果商业数据采购继续扩大，隐私、合规和数据治理会成为OSINT体系建设的关键争议点；但不能直接说“某国一定会因此建立某种秘密数据库”，除非有公开证据。

这三层不分清，文章就容易变成阴谋论。事实少，情绪多；证据弱，结论猛；看着刺激，越看越不可信。

OSINT的法律与伦理边界

法律和伦理边界，也是OSINT里最容易被忽视的一环。

OSINT Foundation曾发布定义文件，区分了OSINT、PAI和CAI：OSINT是为满足特定情报需求，由公开可用信息生产、及时收集、利用并传播给适当受众的情报；PAI包括已经公开发布、公众可请求获得、在线可访问、可订阅或购买、公众场合可见可闻等信息；CAI则是向公众或非政府实体出售、出租或许可的信息类型。

听起来很简单：公开的信息，当然能用。问题是，公开不等于可以随便滥用。一个人在社交平台公开发了照片，不代表你可以把他的家庭住址、行动习惯、亲属信息拼成画像再传播。一个数据库可以买到，不代表它的使用一定符合当地隐私法、平台条款和职业伦理。

这也是为什么美国2024—2026年OSINT战略特别强调公开信息和商业可用信息的获取、共享、治理、工具创新和人才培养，而不是只讲“多买数据、多用AI”。

合规不是束缚分析师的绳子，而是保护分析师的护栏。没有合规边界，OSINT很容易滑向网络跟踪、隐私侵犯、骚扰、人肉搜索，甚至妨碍司法。真正专业的人，知道什么能查，什么不能查；什么能写，什么只能内部留档；什么可以公开发布，什么必须模糊处理。

我给所有学员一个简单的伦理检查清单，你要问自己：

这个信息是否来自合法可访问渠道？
收集过程是否绕过认证、破解权限或违反平台规则？
是否涉及未成年人、受害者、普通私人生活？
发布后是否会造成现实伤害？
是否有公共利益支撑？
是否做了必要的身份遮蔽和敏感信息处理？

如果这几个问题答不上来，就先别发。

OSINT不是炫技。很多人做开源调查，喜欢把工具截图、定位过程、账号细节全放出来，仿佛不展示每一步就不能证明自己厉害。

但专业情报写作不是这样，真正的高手，知道哪些证据该展示，哪些证据该保留，哪些证据该打码。

AI时代的OSINT

这几年AI工具加入后，OSINT又进入新阶段。AI能帮你翻译多语言材料，提取实体，聚类账号，识别图片中的物体，整理时间线。但AI不会自动给你真相。它会把错误包装得很顺，把猜测写得像结论，把不存在的来源说得煞有介事。

所以AI时代的OSINT，更需要方法论，而不是更少的方法论。

我的建议是，把AI当助手，不要当裁判。让它帮你列关键词、翻译材料、生成检索路径、整理证据清单，但关键判断必须回到原始来源。凡是AI给出的机构名、日期、法案名、伤亡数字、地名、型号，都必须点回英文原始网页核验。核验不了，就不要写成事实。

工具负责找线索，方法负责防止你被骗。

一套浓缩的OSINT日常工作流

如果把OSINT浓缩成一套日常工作流，我会这样教。

先设问题：不要一上来搜资料，先写清楚你要验证的命题。命题越窄，越容易核验。比如“某视频是否拍摄于某城市某区”，比“某事件是否真实”更适合开局。
再列来源：至少准备三类来源：一类是当事方公开材料，一类是第三方媒体或研究机构材料，一类是可独立验证的技术材料，比如地图、卫星图、公司注册文件、法院记录、航班船舶数据、区块链记录。不要只在同一种来源里互相引用，那叫回音室。
接着做时间线：时间线是对抗谣言最有效的工具之一。把每条证据按“发生时间”和“发布时间”分开。很多假信息不是内容完全假，而是时间错位。旧视频配新标题，外地照片配本地事件，是最常见的操纵手法。
然后做关联图：人物、账号、域名、邮箱、电话号码、钱包地址、公司、地点、设备、车辆，能关联就关联，但每条边都要标注证据来源。关联不是因果。两个人同框，不等于同谋；两个公司同地址，不等于同一控制人；一个账号转发某内容，不等于受某方指挥。分析师必须能忍住这种诱惑。
最后写判断：判断要分级：已确认、高可信、可能、无法证实、与现有证据相矛盾。不要把所有东西都写成“实锤”。“实锤”这个词，在专业写作里其实很危险。它往往意味着作者已经不愿意继续寻找反证。

OSINT的真正门槛

今天OSINT革命真正改变的，不只是情报机构的工作方式，也改变了普通人理解世界的方式。过去，很多信息被少数机构垄断；现在，一个有训练的人，坐在普通电脑前，也能对公开视频、卫星图像、社交媒体、商业数据和公开文件做出相当有价值的判断。

但这并不意味着“人人都是情报官”。更准确地说，人人都有机会接触情报材料，但只有少数人具备情报纪律。

这种纪律包括：怀疑自己的第一反应，区分事实和判断，保留不确定性，尊重法律边界，不为了传播效果牺牲证据质量，不为了立场选择性引用材料。

未来几年，OSINT会继续变强。商业卫星图像会更普及，AI视频识别会更成熟，社交平台数据会更碎片化，隐私监管会更严格，虚假内容会更逼真。真正值得关注的变量，不是哪个工具最火，而是三个问题：公开数据还能不能被合法获取？跨平台证据还能不能稳定保存？分析师还能不能在算法推送和情绪叙事中保持冷静？

我越来越相信，未来最稀缺的不是信息，而是判断力。

互联网上的信息像暴雨一样落下来。普通人站在雨里，觉得自己被淋湿了，就以为自己理解了天气。情报分析师不一样。他要看云层从哪里来，风向怎么变，地面哪条河可能涨水，哪座桥可能先被冲垮。

这就是OSINT的真正门槛。

不是你会不会搜索，而是你能不能把一地碎片，拼成一幅经得起检验的地图。

我们下一期见！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：情报分析师 DMT DMT《其实每个人都能成为情报分析师，但99%的人都不会用》