新!你的打印机在出卖你!“Yellow Dots” 正在悄悄瓦解你的隐私
想象一下:你打印出一份文件,放在桌子上,自信满满地认为——
只要别人看不到这张纸,上面的内容就是别人唯一能知道的全部信息。
但现实完全不是这样。
很多现代彩色激光打印机和复印机在打印时,会悄悄写入一些元数据——
对你来说是不可见的,却可以被取证人员和政府机构轻松读取。
这就是臭名昭著的 “Yellow Dots”:
分布在每一页纸上的微小黄色点阵,就像机器的“指纹”,死死黏在每一份打印件上。
这篇文章会帮你建立一个完整的认知:
Yellow Dots 究竟是什么、它们是怎么来的、谁在使用它们、它们如何与云端追踪协同工作,以及——
你今天还能采取哪些现实可行的防御策略。
1. Yellow Dots 究竟是什么,为何你完全看不见?
很多彩色激光打印机和彩色复印机在每一次打印任务中,都会在纸上额外打印信息,而你完全察觉不到。
这些信息是由许多微小的黄色点组成的矩阵图案,分布在整张页面上。
从技术上讲,它们被称为打印追踪点(Printer Tracking Dots)、机器识别码(Machine Identification Code,MIC),或者干脆叫 Yellow Dots。
这些点大约只有 0.1 毫米大小,点与点之间的间距约为 1 毫米,构成一个网格,例如 8×16 个点。
这个网格中编码了诸如:
- 打印机的序列号
- 打印的日期和时间
为了确保这份“签名”不会丢失,这个图案会在整页纸上重复出现——往往是几十次乃至上百次。
根据分析,一张 A4 纸上同一个代码最多可以重复出现 150 次——
即使你把纸条状粉碎,仍然可能残留可以被解析的碎片。
在日常使用中,这一切都是不可见的:
在普通光线下,页面看起来和往常完全一样。
只有在蓝光或 UV 光照射下,或者经过图像处理、人工增强黄色通道后,这个点阵才会清晰浮现出来。
取证专家就是这样操作的——
而像 Electronic Frontier Foundation(电子前哨基金会,EFF)这样的组织,也正是通过这种方式才能分析这些代码。
2. 从“假钞恐慌”到一整套取证基础设施
Yellow Dots 的故事始于 20 世纪 80 年代,当时高质量彩色复印机和彩色打印机开始逐渐变得价格可接受。
Xerox、Canon 等厂商开始研发一种机制,可以让每一份打印件的来源都被唯一识别。
官方理由是:应对社会上对假钞的恐慌。
Xerox 在美国申请并获得了一项专利:
通过在打印区域撒布微小黄色点,来标识设备身份的系统。
很长一段时间里,这一切都只是一件“内部的事”。
直到 2004 年,荷兰警方正是依靠这种打印机编码破获了一起假钞案件,这项技术才首次进入公众视野。
不久之后,《PC World》报道指出:
彩色打印机早在多年前就已经开始在打印件中加入这些不可见标记。
真正推动外界理解这套机制的,是 EFF。
2005 年起,EFF 号召用户寄来各种彩色激光打印机打印的测试页面,并系统地开始解码这些点阵。
结果发现:
黄色点阵并不是极少数设备的“奇怪功能”,而是整个型号系列普遍存在的特性。
在一项信息公开(FOIA)程序中,EFF 还发现了一些内部文件,它们强烈暗示:
所有主要的彩色激光打印机厂商都与政府达成了协议,使自家设备“可被取证追踪”。
与此同时,这个议题甚至被带进了政治领域。
早在 2007 年,欧洲议会就有人提出质疑:
这些隐蔽的追踪机制是否违反了隐私保护与人权保障?
欧盟委员会不得不承认:
目前并没有专门立法来规范这项技术,
而它确实触及了基本权利问题——尤其是隐私权和个人数据保护。
简而言之:
Yellow Dots 并不是意外的副产品,而是厂商与国家出于明确目标——
“让每一份打印文件在多年后仍可被追溯到具体设备”——
而做出的刻意决策。
3. 现实冲击:Reality Winner 案件
到了 2017 年,这项技术在现实中的后果已经不再是理论问题。
美国国家安全局(NSA)前合同雇员 Reality Winner 打印了一份关于俄罗斯攻击美国选举系统的机密报告,并将其泄露给调查平台 The Intercept。
编辑部将这份文件扫描后,几乎不做修改就以 PDF 形式公开发布。
很快,一些读者和安全研究者发现:
只要把颜色增强,页面上就能看到清晰的 Yellow Dots。
与此同时,《The Atlantic》和 Ars Technica 等媒体报道:
使用 EFF 的工具,可以通过这些点还原出精确的打印时间和打印机标识。
官方说法是,Winner 被锁定主要是因为 NSA 内部的访问分析:
只有极少数员工打开过该报告,而其中只有一人与 The Intercept 有联系。
但在公众的眼中,Yellow Dots 成了一个象征:
一旦打印机掺和进来,所谓“匿名泄密”可以被多么迅速地追溯源头。
甚至连 Wikipedia 都明确提到,The Intercept 发布文档时保留了打印机标记这一做法——很可能帮助了对消息源的识别。
对于安全社区来说,这是一次真正的警钟:
光是删除 PDF 元数据不再足够
只依赖安全传输通道也不再足够
只要有彩色激光打印机参与其中,纸张本身就可能成为一个取证陷阱。
4. 哪些打印机会“中招”?
对于你个人来说,下一个关键问题是:
这件事和你有关吗?
答案在很大程度上取决于你使用的打印机类型。
彩色激光打印机和专业彩色复印机
在这一类设备上,证据最为充足。
研究与分析表明:几乎所有被检测过的此类设备,都存在某种形式的追踪代码——
大多以黄色点阵形式出现,有时则以其它形式存在。
EFF 的经典列表只收录了部分型号,但其中有一句非常明确的说明:
“很可能所有较新的商业彩色激光打印机都会打印某种形式的取证追踪代码,并不一定是黄色点阵。”
黑白激光打印机和喷墨打印机
这里的情况就很不一样了。
无论是 EFF 还是相关的科研综述,目前都没有证据表明:
这两类设备系统性地嵌入了带有序列号和时间戳的 Yellow Dot 签名。
Wikipedia 上的综述也写得很清楚:
这类方法在现实中主要用于彩色激光打印机和复印机。
这并不意味着:
黑白激光或喷墨打印机就必然“干净”。
从理论上说,厂商完全可以利用灰度或墨粉浓度埋入更隐蔽的水印。
但从已公开、已验证的情况来看:
Yellow Dots 这一具体机制,目前是彩色激光打印机的专属问题。
所以,如果你在家用喷墨打印机打印东西,在这方面确实比在企业环境里使用一整排彩色多功能一体机要轻松得多。
5. 技术细节:它到底是怎么做到的?
要想知道自己在实践中能做些什么,先大致理解一下技术实现会很有帮助。
点阵图案并不是由操作系统或打印机驱动生成的,
而是由设备内部直接生成的——通常是在固件中,或打印控制器的某个专用渲染路径里。
当你把文档发给打印机时,内容会先在内部被栅格化(rasterize)。
随后,在这份栅格图像上再叠加一层不可见的点阵层。
这层点阵与文档本身的颜色内容完全无关。
也就是说,无论你打印的是彩色宣传单,还是纯黑文本,
点阵都会照样出现。
这个图案本质上是一种“二进制矩阵”:
网格中的每一个位置代表一个比特或一组比特,它们共同组成编码信息——
类似于一个 2D 条码。
不同制造商使用的编码格式各不相同:
序列号、日期和时间会以不同编码方式存储,有时还会有校验和和用于识别方向的标记位。
2018 年,德累斯顿工业大学(TU Dresden)在对 18 个厂商的 106 款型号进行研究后,识别出了 4 种不同的编码方案。
点阵如何变得可见?
以高分辨率扫描页面的局部区域
在图像中分离出黄色通道
大幅提高对比度
到这一步,你就能看到一个规则的点阵网格,看上去就像一个极度缩小的星空。
EFF 在其指南中采用的也是这种可视化方法,
而像 DEDA 这样的工具就是在此基础上,对这些模式进行机器分析。
6. DEDA 等研究项目:这些点可以被“怎么利用”?
德累斯顿工业大学并没有在“发现现象”这一步就止步。
在 “deda” 项目(tracking Dots Extraction, Decoding and Anonymisation)中,研究人员开发了一整套工具,用于:
自动检测追踪点
解码其中的信息
并在一定程度上对其进行匿名化处理
DEDA 工具包可以从高分辨率扫描图中提取 Yellow Dot 模式,
并根据已知编码方案推断出所使用的打印机序列号和打印时间。
与此同时,它还能计算新的点阵掩码,在再次打印文档时,在页面上添加额外的点。
目标是:
让原始模式被严重干扰,从而无法再可靠地追溯到最初的打印机。
另一项重要研究是 Maya Embar 在 2014 年 ACM 会议上发表的《Printer Watermark Obfuscation》。
该研究测试了多种干扰彩色激光打印机水印的策略:
完整的固件破解(“Root Bypass”)风险极高,现实中几乎不可行
简单粗暴地在整页打印一层黄色,反而因为打印机内部的校准机制而失败——黄点仍然能被识别
最终最有前景的是一种“隐写叠加”方式:在原始模式之上,有计划地叠加新的点阵
DEDA 的匿名化功能正是延续了这种思路。
需要特别强调的是:
这些工具不会改变打印机本身的行为。
它们是后处理工具——
要么在扫描件上操作,要么通过“二次打印”进行处理。
它们的主要用途是科研、教育,以及在高风险场景下提供合理防护——比如:
有生命危险风险的记者
身处高压环境中的政治活动人士
等人群。
7. 法律与伦理上的灰色地带
Yellow Dots 的存在引出了不少根本性问题:
首先,这项技术是在几乎没有用户知情的前提下被引入的。
直到今天,很多打印机的说明书里仍然完全没有提到“彩色激光打印机会打印隐藏识别码”这件事。
其次,这些代码可以被用来识别个人,而当事人从未同意、甚至完全不知道这种机制的存在。
早在 2008 年,EFF 就指出:
这类追踪点有可能违反基本人权,尤其是:
《欧洲人权公约》
《欧盟基本权利宪章》
中所规定的私人和家庭生活的权利,以及数据保护权。
与此同时,在许多情况下,使用这些代码在法律上是被允许甚至是政治上被鼓励的——
例如在打击假币和某些有组织犯罪方面。
对你这个使用者来说,这形成了一个非常尴尬的张力:
一方面,你不希望假钞遍地横行
另一方面,你也不希望自己打印的每一页纸都潜在地能把你“交出去”
更微妙的是“反取证”这个话题。
在一些场景下:
刻意尝试中和或破坏 Yellow Dots,自己就可能迈进法律灰色地带——
特别是涉及国家重点保护文件时。
因此,像 DEDA 这样的工具,应当谨慎使用。
它们更多是为了说明问题之严重,而不是鼓励“人人上手搞打印机反取证”。
8. 为什么你没法在菜单里把它关掉?
从一个注重安全的用户视角看,理想的解决方案似乎简单到可笑:
打开设置 → 勾选“关闭追踪码” → 大功告成
然而现实是,这样的选项根本不存在,这绝非巧合。
Yellow Dots 的生成发生在对用户完全不可见的内部层面。
厂商不会将其作为“功能”公开说明
设置界面看不到任何相关选项
打印驱动也没有任何可供你操控的接口
它被当作设备内部逻辑的一部分,
就像众多校准步骤中的一个——
只不过这一项专门负责植入取证标记。
尝试在固件层面绕过这套逻辑的研究表明:
从理论上看,也许有机会,但在实际操作中风险极高:
一次打补丁失败就可能让整台设备报废
此类操作在法律上是否允许,还高度取决于所在国家、产品协议以及用途
现实一点说:
你很难通过“干净利落的正当方式”在彩色激光打印机上关掉 Yellow Dots。
你能做的只有两条路:
直接避免使用这类设备打印敏感内容
事后尝试对图案进行干扰和模糊处理(伴随显著代价和风险)
9. “修补”不如一开始就“避免”
对你日常生活来说,最重要的结论听起来也许平淡无奇,却极具威力:
想要打印件上没有 Yellow Dots,就不要用彩色激光打印机打印敏感内容。
对于那些确实必须以纸质形式存在的机密文件,优先选择:
黑白激光打印机
喷墨打印机
在已公开的资料中,这两类设备尚未被证实存在 Yellow Dot 实现,
也不在已知取证文献的主要关注对象之列。
第二个要点是:
认真思考这份东西是否真的“非印不可”。
现在有很多更安全的数字化替代方案:
端到端加密的即时通讯工具
加密邮件
零知识(Zero‑Knowledge)云存储
专用的安全文档平台
每一张没有被打印出来的纸,都是少一条潜在的“痕迹”。
如果在公司环境中,彩色激光设备难以避免,那么一定要明确:
在那里打印的文件,绝不能再被视为“匿名”。
它们极有可能被:
精确地关联到某一台设备
某个网络
乃至某个用户群体
10. 第二条线索:“智能打印机”和咄咄逼人的遥测数据
在 Yellow Dots 标记纸面这一“模拟端”的同时,近几年另一个趋势正在迅猛发展:
始终在和云端对话的“智能打印机”。
HP 等厂商在最新的隐私声明中,已经相对坦率地说明了他们从联网打印机中收集了哪些数据。
在 “Printer Usage Data”(打印机使用数据)一节,HP 列出了包括但不限于:
打印页数
使用的打印模式
纸张与介质类型
使用的墨盒或硒鼓(包括是否为原厂或第三方)
被打印文件的类型(PDF、JPG 等)
打印所用应用程序(Word、Excel、Photoshop 等)
文件大小
时间戳
另外不少用户也通过各种渠道“意外地”发现:
自己的设备向厂商服务器上传了惊人的使用数据量——
尤其是在启用了 Instant Ink、HP Smart 等云服务之后。
关键在于:
即便你的打印机根本不植入 Yellow Dots,你也可能通过这些遥测数据暴露大量细节。
有权访问这些数据的人不仅可以知道:
你打印了什么(至少是打印行为本身)
往往还可以知道:
你何时打印
打印了多少
使用了哪款软件、哪台设备
有时甚至连你是否使用原厂耗材都一清二楚
11. 作为个人用户,你能具体做什么?
如果你重视隐私,那么可以据此制定一套相对明确的个人策略。
先看你现在用的是什么设备,未来打算买什么设备
简单的喷墨打印机
或纯黑白激光打印机
在 Yellow Dot 风险上,要明显优于最新款彩色激光打印机。
检查你的打印机是否绑定了云服务
对每一个“智能功能”问自己一句:
“我真的需要它吗?”
如果你并不经常从云端或手机 App 打印,那么并不一定要在厂商那边注册你的设备。
很多打印机在纯局域网(LAN)模式下工作得很好:
比如通过 IPP 或传统打印共享方式,而无需任何直接互联网连接。
像对待“不太可信的 IoT 设备”那样对待打印机
如有条件,把它放进独立的 VLAN
至少可以对其访问外网的能力加上严格的防火墙规则
如果你发现某些云功能因此无法使用,再判断是否值得为这点便利开放更多数据
妥善处理废纸
敏感打印件绝不是“旧纸篓”的东西
使用能够把纸裁成足够小碎片的碎纸机
即便不考虑 Yellow Dots,这也是传统取证角度下的“最低配置”。
12. 组织和企业层面应该怎么做?
在企业场景中,这个问题的规模要大得多:
大量多功能一体机
合规和审计要求
内部调查
对员工透明度的边界
等等都会卷入其中。
一个良好的起点是:
将打印策略写入整体的 IT 安全和数据保护策略中。
这包括对如下问题做出清晰决策:
哪类打印机
可以用于哪类文件
在什么条件和流程下使用
比如:
可以考虑把高度机密的纸质输出限定在专门的黑白设备上,并放置在特别安全的区域。
第二层是网络架构。
打印机不应再被看作“傻外设”,
而应被视为带有遥测、固件与潜在漏洞的独立 IT 系统。
这意味着:
网络分段(Segmenting)
防火墙策略
访问与事件日志
固件与补丁管理
都应该覆盖到打印设备。
云功能应当默认关闭,
只有在经过明确的风险评估之后,才有理由启用。
员工教育同样至关重要。
几乎没有人知道:
彩色激光打印机会在打印件中嵌入隐藏的识别代码。
如果组织内部涉及:
吹哨人(whistleblowing)
内部调查
与媒体的合作
等敏感话题,就必须明确告知:
“纸质打印件并不意味着彻底没有痕迹。”
最后,组织还必须关注法律层面:
如果你通过 Yellow Dots 或遥测数据系统性地追踪文件来源,
很快就会触及:
数据保护法
集体协议 / 劳资协定
甚至劳动法上的限制
因此,IT 安全部门、数据保护官(DPO)和法务部门之间的密切协同是必需的。
13. Yellow Dots:一堂关于“隐形元数据”的课
如果把视角再放大一点你会发现:
Yellow Dots 其实是一个极好的案例,用来说明“隐形元数据”如今已经走得多远。
照片包含 EXIF 数据:相机型号、序列号、往往还有精确的 GPS 坐标
Office 文档记录了编辑者、作者姓名、修改历史
PDF 保存了创建与打印时间
即时通讯和电子邮件系统构建了细粒度的通信图谱
打印机则在纸上悄悄盖上序列号和时间戳
这些都不必让你惊慌失措,但值得你提高警觉。
在 2025 年,“隐私”不再意味着:
“每年删一次 cookie,其他时候照旧就好。”
它意味着:
把元数据——无论是数字世界的还是物理世界的——当作头等大事来看待
在接触任何新技术时,都问问自己:
“这里会产生哪些额外信息?谁能把它们利用起来?”
DEDA 等项目、EFF 等组织的工作正是基于这一点。
它们不仅证明了问题的存在,还告诉你:
作为一个知情的用户,你并非完全任人摆布
你可以质疑技术,你可以做出有意识的选择
你可以通过公共讨论和政治参与,要求这些机制至少要透明、要被规范
14. 结语:你的打印机,比你想象的更“政治化”
一个本该只是把文字和图像印在纸上的设备,
正悄悄地给每一张纸打上独一无二的签名。
一套原本打着“打击假钞”旗号建立起来的基础设施,
如今在毫无退订选项、没有设置开关、几乎没有公众讨论的情况下,被自然地视为取证工具。
你无法通过“勾选/取消勾选”来改变这一现实,
但你可以在安全策略中正视并利用这一现实:
决定何时、何地允许使用彩色激光打印机
有意识地限制云服务
把网络中的设备当作什么来看待:
具有独立数据输出和风险画像的节点
在打印之前认真想一想:
“这份文件真的需要存在于纸上吗?”
对我们 Protectstar 来说,这就是核心所在:
通过知识
通过透明度
通过工具
让你重新掌握自己的数据——
无论它们是存在于智能手机上、云端,还是一张看似无害的纸上。
参考资料与延伸阅读
- Wikipedia: Printer tracking dots – 关于 Yellow Dots 技术、历史和用途的概览
https://en.wikipedia.org/wiki/Printer_tracking_dots - EFF: List of Printers Which Do or Do Not Display Tracking Dots – 已测试彩色激光打印机的历史列表,并指出“几乎所有新设备都很可能使用某种追踪代码”
https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots - EFF: Printer Tracking / “Is Your Printer Spying On You?” – 关于代码发现过程、FOIA 工作以及隐私风险的背景信息
https://www.eff.org/issues/printers - TU Dresden – DEDA Toolkit – 德累斯顿工业大学关于追踪点提取、解码与匿名化工具包的项目页面
https://dfd.inf.tu-dresden.de/ - DEDA GitHub 仓库 – DEDA 工具包的技术细节与源代码
https://github.com/dfd-tud/deda - Maya Embar: “Printer Watermark Obfuscation”, RIIT 2014 (ACM) – 关于干扰或破坏打印机水印策略的学术论文
https://dl.acm.org/doi/10.1145/2656434.2656437 - EFF: “EU: Printer Tracking Dots May Violate Human Rights” – 关于欧洲地区打印追踪点与人权问题的分析
https://www.eff.org/deeplinks/2008/02/eu-printer-tracking-dots-may-violate-human-rights - HP Global Privacy Statement (2024/2025) – “Printer Usage Data” 章节详细说明了 HP 收集哪些打印机使用数据
https://www.hp.com/content/dam/sites/worldwide/privacy/pdf/2025/aug/EN.pdf - Regula Forensics: “Printer Tracking Dots: Hidden Security Marks” (2025) – 介绍取证服务商如何利用 Yellow Dots 来识别打印机
https://regulaforensics.com/blog/printer-tracking-dots/ - Sophos News: “Tool scrubs hidden tracking data from printed documents” (2018) – 说明如何在实践中使用 DEDA 识别并部分匿名化追踪点
https://news.sophos.com/en-us/2018/07/03/tool-scrubs-hidden-tracking-data-from-printed-documents/ - Ars Technica / The Atlantic:关于 Reality Winner 与打印机代码的报道 – 解释 Yellow Dots 在 Reality Winner 案件中的作用
https://www.theatlantic.com/technology/archive/2017/06/the-mysterious-printer-code-that-could-have-led-the-fbi-to-reality-winner/529350/ - Instructables / EFF: “Yellow Dots of Mystery: Is Your Printer Spying on You?” – 教你如何在自己的打印件上把 Yellow Dots 显示出来的图文教程
https://www.instructables.com/Yellow-Dots-of-Mystery-Is-Your-Printer-Spying-on-/
返回