透明來源行動 – 介紹跨平台內容來源（XPOC）框架

## 透明來源行動 – 介紹跨平台內容來源（XPOC）框架 **前情提要** Microsoft Research 進行了一個非營利開源行動，名為 XPOC。他們打造了一個簡單的憑證工具，可以視為跨平台、跨網頁使用者認證「藍勾勾」，將網路上的資訊，以發表單位進行自我認證，協助事實查核方進行審核業務。目前 Microsoft Research 正在台灣尋找合作夥伴歡迎與我們聯繫。簡信昌 hcchien@gmail.com 張潔平 [az@matters.town](https://) 黃豆泥 mashbean@gmail.com Jacky taipeicity.eth@gmail.com --- 本文譯自：[Introducing the Cross-Platform Origin of Content (XPOC) framework](https://christianpaquin.github.io/2023-09-08-xpoc-framework.html) 開坑頁面： [透明來源行動：開坑夥伴募集 ](https://hackmd.io/IbH86vFfTDKgInDLx3j7Hw) 文：Christian Paquin 2023/09/08 譯：mashbean 2023/10/01 --- ### 透明來源行動簡介這個年頭要驗證網路內容的來源相當具有挑戰性。知名內容創作者（無論是個人或組織）在他們的官方網站中，通常會提供他們在社群媒體上的相關帳戶，如 YouTube、X/Twitter、Facebook、Instagram... 等，最常見的方式是放上這些社群平台的 Logo。 ![社群網站的 logo ](https://hackmd.io/_uploads/HJzH6-ve6.png) 我們要自己驗證此類資訊是否來自真正的創作者本人，可能會很複雜，並且需要先知道創作者的網站網址。此外，許多內容可能來自多名創作者合作的結果，例如 Podcast、影片訪談、會議 Panel 等等，而內容可能由其中一位創作者或主持人的帳號發布。尤其生成式 AI 不斷進化，可能加速虛假資訊的影響力。透過 AI 製作看似真實的假帳戶和內容，可能損害個人聲譽，也可能對整個社會產生影響，這將非常危險。道高一尺，魔高一丈，AI 檢測工具正在與潛在惡質的 AI 使用者進行搏鬥，但處於劣勢。許多媒體托管平台都有帳戶和內容驗證流程，但品質各不相同，這些平台彼此脫鉤，無法藉由標準化的驗證機制進行資源共享。為了解決這個問題，我們打造了[透明來源行動（XPOC）框架](https://github.com/microsoft/xpoc-framework)，允許內容創作者： 1. 在各個平台上公開其帳戶和批准內容的授權清單 2. 使用特殊的 XPOC URI 為這些帳戶和內容增加標籤，並與其清單相互關聯。這使得驗證工具能夠自動確定受保護內容的來源。 ![](https://hackmd.io/_uploads/Bk6OpWvxp.png) christianpaquin.github.io的XPOC 清單這個行動與框架對政治家、名人、公司、政府實體和許多其他利益相關者來說非常有用，可以為他們所控制的帳戶和內容，提供溯源的真實性。 XPOC 框架的設計目標是盡量能夠簡單操作，允許內容創作者發表清單並為受保護的內容添加標籤，而無需與特定社群平台合作；反過來說，實施該框架的平台將改善使用者體驗和內容來源驗證。該 GitHub 專案包含框架規範、TypeScript 參考庫以及用於 XPOC 清單編輯工具和 XPOC URI 驗證工具的一些案例。 ### 系統概述我將以自己作為例子來說明 XPOC 框架。我的主要網站是 christianpaquin.github.io，這個網頁彰顯了我的專業，你可以在這裡找到我在其他平台上控制的一些社交帳戶連結（例如我的 X/Twitter 帳號和我的 GitHub 帳號）。我創建了一個 XPOC 清單，以標準化且易於發現的方式列出所有這些帳戶。此外，我還添加了連結到我創建或參與的，但不由我控制的帳戶發布的內容（例如，這個在微軟 YouTube 頻道上發布的有關[社會韌性的專題](https://www.youtube.com/watch?v=pzi76VdmD9g)或我在 DEF CON 27 上發表的[後量子加密演講](https://www.youtube.com/watch?v=IqCw19bKE6c)）。您可以查看托管在這個網站上的 xpoc-manifest.json 文件。 ![](https://hackmd.io/_uploads/ry7-RZPga.jpg) christianpaquin.github.io的 XPOC 清單值得注意的是，此清單僅包含我與我的微軟形象相關聯的帳戶和內容；我還有其他個人帳戶和內容沒有在此列出（但可能存在於個人網頁的清單中）。如果有人或某個系統想要找到與我相關聯的所有帳戶和內容，他們可以檢索並檢查此文件。人們更喜歡使用更友好的進行檢視，例如我們在 GitHub Repository中提供的示例 XPOC [檢視器](https://github.com/microsoft/xpoc-framework/tree/main/samples/client-side-html)。 ![](https://hackmd.io/_uploads/ryVm0WPla.jpg) XPOC清單檢視器該框架的一個重要功能是能夠將這些帳戶和內容連結回我的主要網站，讓訪客知道是誰在我的社交媒體帳號和帳號名背後。我透過我的帳戶頁面和內容中增加 `xpoc://christianpaquin.github.io!` XPOC URI 來實現這一點。前綴 `xpoc://` 和終止字符 `!` 有助於解析工具在頁面的 HTML 中找到 URI；然後它們將提取基本 URL `christianpaquin.github.io` 並在 `https://christianpaquin.github.io/xpoc-manifest.json` 處提取相應的清單。例如，我在我的 [X/Twitter 個人簡介](https://twitter.com/chpaquin) 中和[ YouTube 影片描述](https://www.youtube.com/watch?v=hDd3t7y1asU) 中放置了我的XPOC URI，這樣驗證工具就可以找到我的清單。我們的 GitHub 存儲庫中包含一個案例 [瀏覽器擴充套件](https://github.com/microsoft/xpoc-framework/tree/main/samples/browser-extension)，可用於驗證這些URI，讓人們可以驗證這些帳戶和內容是否真的是我本人，而不是冒充者。 ![](https://hackmd.io/_uploads/Hk5u0ZDlT.jpg) 驗證X/Twitter XPOC URI ![](https://hackmd.io/_uploads/SJyt0WDe6.jpg) 驗證X/Twitter XPOC URI ### 前方道路打擊假訊息和虛假內容是一項具有挑戰性的任務，我們還在非常初始的階段。 XPOC 框架不會神奇地解決問題，但它可以幫助解決其中一部分問題。如果內容創作者（尤其是那些受到虛假內容攻擊的人）開始發布內容清單，那麼驗證者（事實核查人員、記者、託管平台）將能夠更好地確認其來源，這將減少惡意內容造成的損害機會。若早期採用 XPOC 的人不幸成為攻擊目標，將可能有助於教育驗證者，讓他們知道他們應該檢測到虛假內容，因為它們沒有列在清單中。這些早期事件將有助於 XPOC 具有實際效果。隨著採用的增加，攻擊將越來越難以針對使用 XPOC 框架的創作者，攻擊者可能會專注於那些不使用的人。就像在 HTTP 到 HTTPS 的轉換過程中發生的情況一樣，早期採用者受益於更強大的安全性，而那些遲到的人則會被標記為不安全甚至被封鎖。我可以想像，如果創作者開始使用 XPOC，相同的情況可能會發生：最後一小部分未受保護的帳戶看起來可疑，可能會在託管平台上經歷更嚴格的帳戶和內容審查過程。告訴我們您對XPOC框架的看法，它如何使用和改進。一起向前！ ###連結 1. GitHub Repository：https://github.com/microsoft/xpoc-framework 2. 技術概述視頻：https://www.youtube.com/watch?v=G9OGrOpNif8 3. 示範影片：https://www.youtube.com/watch?v=PNn_ex_J-YA