Topics API在真实网络环境中的首次深度测量：可疑使用模式与停滞采用现状

《IEEE Transactions on Privacy》：Understanding Topics API in the Wild: Dubious Usage and Stale Adoption

【字体： 大 中 小 】 时间：2025年11月20日 来源：IEEE Transactions on Privacy

　　

在数字广告行业面临重大变革的当下，第三方Cookie（third-party cookie）这座支撑个性化广告二十年的基石正在崩塌。随着Safari和Firefox等主流浏览器开始默认屏蔽第三方Cookie，以及欧盟《通用数据保护条例》（GDPR）等隐私法规的全面实施，整个在线广告生态系统被迫寻找新的平衡点——既要维护广告商的利益，又要保护用户隐私。作为全球最大的在线广告平台之一，谷歌提出了名为“隐私沙盒”（Privacy Sandbox）的全新解决方案，其中Topics API被寄予厚望，被视为替代第三方Cookie的关键技术。

然而，这项被谷歌大力推广的技术自诞生之初就伴随着争议。隐私研究人员担心Topics API仍可能被用于重新识别用户，监管机构如英国竞争与市场管理局（CMA）也对其竞争影响表示关切。更重要的是，在真实网络环境中，Topics API到底如何被部署和使用？广告商是否已经全面接纳这项新技术？是否存在违反隐私法规的使用行为？这些问题至今没有独立、全面的答案。

正是在这样的背景下，来自意大利都灵理工大学和的里雅斯特大学的研究团队开展了这项开创性研究。他们开发了专门的测量工具，对全球最受欢迎的5万个网站进行了大规模分析，时间跨度长达7个月，同时还从五个不同地理区域（意大利、美国犹他州、美国加利福尼亚州、巴西和日本）比较了Topics API的使用情况。这项发表在《IEEE Transactions on Privacy》上的研究，为我们揭示了Topics API在真实网络环境中的首次全景图。

研究人员采用了一种精心设计的测量方法。他们基于Selenium构建了定制化爬虫，在Chromium浏览器122.0.6261.128版本中手动启用了隐私沙盒功能。为了模拟真实用户行为，爬虫采用了Priv-Accept工具自动与隐私横幅交互，分别记录用户“同意前”（Before-Accept）和“同意后”（After-Accept）两种场景下的Topics API调用情况。研究团队还修改了Chromium源代码，以精确记录每次API调用的详细信息，包括调用方域名、网站域名、时间戳和调用类型（JavaScript、Fetch或IFrame）。此外，他们通过VPN在五个不同地理区域重复实验，以考察隐私法规对Topics API使用的潜在影响。

主要研究结果

合法使用模式：研究发现，27.3%的网站在用户同意隐私政策后会出现至少一次合法的Topics API调用。主要广告平台如Criteo、Rubicon Project和Casale Media等已经在一定程度上集成了该技术，但使用模式表明他们可能正在进行A/B测试，比较Topics API与传统Cookie的效果。不同广告平台的使用频率差异显著，从authorizedvault.com的近乎100%到其他平台的波动使用模式。

异常使用模式：研究发现了大量未被谷歌允许列表（allow-list）收录的域仍然调用Topics API的情况。进一步分析表明，76.3%的异常调用与谷歌标签管理器（Google Tag Manager，GTM）相关，由于其JavaScript脚本被直接嵌入网页而非通过iframe加载，导致调用上下文被错误地识别为第一方而非GTM本身。

可疑使用模式：研究观察到28个已被授权和认证的调用方在用户未同意隐私政策前就调用Topics API，这涉嫌违反GDPR等隐私法规。地理分析显示，这种行为在不同法规区域均有发生，且与所用同意管理平台（CMP）的类型有关，Hubspot等CMP出现违规调用的概率是平均水平的两倍。

时间演化分析：七个月的追踪显示，Topics API的采用率增长缓慢，甚至出现停滞。虽然异常调用数量从最初的高峰有所下降，但问题依然存在。不同调用方采取了不同的部署策略，如Outbrain的使用率从26.7%上升至57.7%后又回落至39%，而OpenX则从65.1%稳步增长至83.3%。

地理差异分析：尽管五个研究区域的隐私法规严格程度不同（从需要明确同意的GDPR到仅需提供退出机制的CCPA），但Topics API的使用模式未见显著差异。这表明广告平台正在全球范围内进行统一的测试，而非针对不同法规区域定制策略。

研究结论与意义

这项研究首次对Topics API在真实网络环境中的部署情况进行了全面独立的分析，揭示了这一备受关注的技术在实际应用中的复杂图景。研究表明，尽管主要广告平台已开始测试Topics API，但其采用远未达到取代第三方Cookie的程度。更重要的是，研究发现了一系列技术和合规性问题，包括浏览器实现漏洞、配置错误以及潜在的隐私法规违反行为。

研究人员还发现了一个Chromium浏览器的安全漏洞：当本地允许列表数据库损坏时，浏览器会默认允许任何调用方使用Topics API，这可能被恶意利用。虽然该漏洞需要攻击者已具有系统高级权限，但反映了隐私沙盒生态系统中的第三方风险需要更严格的分析。

这项研究的意义在于为监管机构、隐私倡导者和技术开发者提供了宝贵的实证数据，帮助他们理解新一代广告技术的实际效果和潜在风险。随着谷歌无限期推迟第三方Cookie的淘汰计划，Topics API的未来仍充满不确定性。研究团队已公开其测量工具和数据集，鼓励学术界继续监测这一重要技术的发展轨迹。

总的来说，这项工作不仅揭示了Topics API在当前阶段的真实采用情况，也为评估隐私增强技术的实际效果提供了方法论范例。在平衡个性化广告与用户隐私的持续探索中，这类独立测量研究对于确保技术变革真正服务于用户利益至关重要。