# 怎麼自己評測一個隱私服務 > 編輯團隊對每個上架條目都跑這份七步清單——運營透明度、隱私政策、註冊測試、入金測試、提現測試、審計 + 牌照複查、口碑交叉核對。可直接套用於我們還沒覆蓋的服務。 Canonical URL: https://www.xmr.club/zh/guides/evaluate-a-privacy-service ## Overview 多數人靠口碑或營銷挑隱私服務。口碑可以被買,營銷總會偏向自我。我們對目錄裡每個條目都按公開評分細則(/methodology)評級,但新服務每週都在上線,你自己也得會評。本文是我們用的同一份清單,濃縮成你 30 分鐘可跑完的版本。 ## Body 先問一句 在做任何測試之前: 這個服務對我而言是不是真的需要存在? 多數人買的隱私產品解決的是他們其實沒有的問題。先把服務對齊到你的 威脅模型 。如果一個無 KYC VPN 在你 ISP 不是威脅時給不了什麼,到這裡就停。 第 1 步 —— 運營透明度(5 分鐘) 誰在運營? 至少找到一個真名、公司註冊號,或有多年口碑的化名賬戶。匿名但有活躍記錄可以;匿名又全新就是紅旗。 域名存在多久了? WHOIS + Wayback Machine 一查。註冊不到 6 個月就開始賣付費方案的,特別盯。 程式碼庫公開嗎? 開源不是必須,但缺失需要有其他可信錨替代。 過往有無事故? 搜 "{service} hacked"、"{service} exit-scam"、"{service} freezes funds"。把帖子讀完。 第 2 步 —— 隱私政策(5 分鐘) 收集了什麼? 找 "IP addresses"、"device fingerprints"、"browser identifiers"。一邊宣稱 no-logs、一邊隱私政策裡寫收集這些 = 說謊。 保留多久? "無限期保留"或"依法所需"的範圍比聽起來更寬——通常意味著"什麼都留,永遠"。 誰有訪問權? 分包商、支付處理方、"執法請求"。 司法轄區。 公司註冊在哪?五眼 / 十四眼運營方面臨的資料共享壓力,與非陣營轄區不在一個量級。 第 3 步 —— 註冊測試(10 分鐘) 使用乾淨的 Tor 會話 + 一次性郵箱。每一步都截圖。 註冊要求郵箱嗎?電話嗎?身份證件嗎?任何超出"使用者名稱 + 密碼"的要求都會拉低隱私上限。 試一個一次性郵箱。被接受嗎?有些服務暗中按一次性郵箱域名指紋拒絕。 記下 captcha 提供方(Cloudflare / Google / hCaptcha)——它們都會在註冊時看到你的 IP。 賬戶建立頁跑了第三方 JS 嗎?開啟 Dev Tools → Network → 找 analytics、Stripe-fingerprint、FB Pixel。 第 4 步 —— 入金測試(5 分鐘) 充值一小筆(< 20 美元)。能接受 XMR 就用 XMR,否則 BTC。 檢查:錢包 UI 在 入金之後 是否突然要求額外 KYC?(這是交易所的常見反模式。) 確認資金到達頁面給出的地址——而不是某個被重定向的代理地址。 注意實際結算:原生、wrapped、還是 IOU?"我們給你發 XMR"有時其實是"我們把它記入你的餘額,可兌回 XMR"。 第 5 步 —— 提現測試(10 分鐘) 最關鍵的一步。能透過這一步活下來的隱私姿態才算數: 把資金提到一個新地址(該服務從未見過)。 提現是否要求額外 KYC?"驗證身份後才能提現" = 追溯性 KYC = 降級。 提現是否被凍結?小額超過約 24 小時是黃旗,超過 72 小時仍無解釋是紅旗。 郵件確認是否洩露資訊(充值歷史、餘額、來源 IP)? 幾天後再做一次提現。基於交易量的隱藏 KYC 觸發器有時在累計後才出現。 第 6 步 —— 審計 + 牌照複查(5 分鐘) 有無第三方審計? 讀報告,不只讀營銷。審計有保質期——超過 18 個月就過期。 合規姿態。 有發透明度報告嗎?傳票數?warrant canary 是否仍在? 程式碼許可。 信任訊號強度:AGPL > GPL > MIT > 閉源。 對交易所 / 託管類: 儲備金證明頻率。自報弱於第三方核證。 第 7 步 —— 口碑交叉核對(5 分鐘) 搜 Reddit r/privacy、r/Monero、r/PrivacyToolsIO 近 12 個月內容。 搜 Trustpilot / BBB / Sitejabber 上的資金損失投訴,對刷評模式持懷疑態度。 查其他隱私目錄: KYCnot.me 、 PrivacyGuides 、 Monerica 。若多家與服務自述不一致,按它們的共識加權。 查我們:在 xmr.club 的 審計日誌 和 archive 裡搜運營方名字。 給自己打分 把你的發現對映到 xmr.club 評分細則 : 七步全透過? 很可能 A 級。12 個月後重測。 一處讓步(註冊要郵箱、運營較小、域名較新)? B 級。匹配威脅模型時可接受。 提現時 KYC 蔓延、審計斷檔、或資金投訴未解? C 級。謹慎使用,不要放高價值。 有未解決的資金損失報告,或處於敵意司法轄區? 不要用。 告訴我們 ——我們會作為警示列出。 你做完了之後,請提交 如果你評測了一個我們還沒列的服務,請透過 /submit 把發現交給我們。我們在上架前會再跑一遍清單,但已預測過的提交上線更快,編輯筆記裡也會署名感謝。 每步對應的參考精選 ## Recommended picks - [Tor Browser](https://www.xmr.club/tools/tor-browser) · /llm/tools/tor-browser.txt — 第 3 步註冊測試 —— 乾淨會話,填充指紋。必備。 - [Tuta Mail](https://www.xmr.club/email/tutanota) · /llm/email/tutanota.txt — 第 3 步一次性郵箱來源。多數無 KYC 註冊都接受。 - [Feather](https://www.xmr.club/wallets/feather) · /llm/wallets/feather.txt — 第 4 + 5 步入金 / 提現測試。原生 XMR + Tor。 - [kyc.rip 聚合器](https://www.xmr.club/exchanges/kyc-rip-aggregator) · /llm/exchanges/kyc-rip-aggregator.txt — 第 4 步小額測試入金。多引擎,零加價。 ## License CC-BY-4.0. Attribute "xmr.club".