NetNut 事件之后,尽调不能停留在口头承诺
关于 2026 年 7 月 NetNut / Popa 事件的完整时间线、Google 披露的三组关键数字,以及白标转售的连带风险,我已经在NetNut / Popa 事件报告里写清楚了。这里不重复叙事,只做一件事:把买方尽调从一份问题清单,变成一套可以直接拿去用的操作流程——每一项都给出期待的证据形态、可以直接发给供应商的问询话术,以及一旦出现就该提高警惕的红旗信号。
行业组织 ARDC 在事件后的声明说得很清楚:被瓦解的是隐藏软件、欺骗性 SDK、未经知情同意的接入模式,不是住宅代理技术本身。换句话说,供应商能不能把这些环节讲清楚、拿得出证据,才是尽调真正要验证的东西。

采购前清单:签合同之前必须问清的四组问题
下面四组问题按优先级排列。每一项都按「尽调问题 / 期待的证据 / 可直接复制发送的问询话术 / 红旗信号」四栏展开,直接整段复制发给供应商的销售或合规团队即可。
一、来源与 SDK
| 尽调问题 | 期待的证据 | 问询话术(可直接复制) | 红旗信号 |
|---|---|---|---|
| 住宅 IP 具体怎么进入你们的网络? | 公开的来源说明页,写清 SDK 名称、宿主 App 类别、接入方式 | 请提供你们住宅 IP 来源的公开说明页链接,包括涉及的 SDK 名称和宿主应用类型。 | 只回答「我们的网络是合规的」,不给出具体 SDK 名称或来源页面 |
| 网络是自营还是转售 / 白标? | 书面确认自营网络规模,或明确说明上游供应商名称 | 你们的住宅节点是自营网络,还是转售或白标其他上游的网络?如果是转售,上游是谁? | 回避是否白标,或用「我们和多个合作伙伴合作」这类模糊措辞搪塞 |
二、知情同意与退出
| 尽调问题 | 期待的证据 | 问询话术 | 红旗信号 |
|---|---|---|---|
| 终端设备用户是否明确知情并同意? | 可复现的 opt-in 流程截图或条款原文,而非一句「我们合规」 | 能否提供终端用户同意接入你们网络时看到的实际条款原文或界面截图? | 拒绝提供条款原文,只给一份市场向的合规声明 PDF |
| 用户能否随时退出?有没有回报机制? | 退出入口截图与补偿机制说明(现金、积分、去广告等) | 终端用户如何退出你们的网络?退出后多久生效?他们获得的回报形式是什么? | 答不出具体退出路径,或声称用户永久绑定、无法退出 |
三、KYC 与用途审核
| 尽调问题 | 期待的证据 | 问询话术 | 红旗信号 |
|---|---|---|---|
| 开户时有没有实质性 KYC? | 身份验证流程说明(如视频验证、企业资质审核) | 新客户开户时你们的 KYC 流程具体包含哪些步骤?能否提供流程截图? | 只需邮箱注册即可获得完整住宅代理权限,无任何身份核实 |
| 有没有明确拒绝的用途清单? | 公开的可接受使用政策,列出被禁止的具体用途 | 你们的可接受使用政策里,明确禁止哪些用途?过去一年因违规被封停的账户大概占比多少? | 可接受使用政策只有笼统的「禁止非法用途」,无具体场景 |
四、是否白标 / 依赖上游
| 尽调问题 | 期待的证据 | 问询话术 | 红旗信号 |
|---|---|---|---|
| 上游一旦被执法或暂停,你们如何隔离影响? | 书面的应急预案,说明多上游冗余或自营网络占比 | 如果你们依赖的某个上游网络被执法机构关停,你们计划如何维持服务?是否有多上游冗余? | 无法回答,或表示只有一个上游、没有备份方案 |

合同条款清单:把口头承诺写进条文
销售口头说的「我们很合规」在出事时没有任何约束力。以下四条建议直接写进采购合同或服务协议:
| 条款要求 | 建议写入合同的条文方向 | 红旗信号 |
|---|---|---|
| 上游披露条款 | 供应商书面披露是否依赖第三方上游或白标网络,上游变更需提前通知 | 合同里完全没有提及网络来源或上游依赖 |
| SLA 与应急条款 | 约定上游中断时的服务降级流程、通知时限、替代资源承诺 | SLA 只覆盖服务器可用性,不覆盖住宅节点池的可用性 |
| 退款条款 | 因供应商侧不可抗力(如域名被扣押、服务暂停)导致的中断,明确按比例退款或延期 | 退款条款只覆盖客户主动取消,不覆盖供应商侧中断 |
| 滥用响应时效 | 写明收到滥用举报后的响应时限(如 24 或 48 小时)及处置记录留存期 | 合同不提滥用响应时效,或仅口头承诺尽快处理 |
上线后清单:怎么监控供应商是不是在骗你
签完合同不是尽调的终点。建议在上线第一周就建好以下三条监控基线:
- 成功率与池子规模基线。记录每日请求成功率、平均可用 IP 数、地域分布,作为日常对比基准。一旦某天成功率无解释地骤降超过基线的 20% 到 30%,直接触发人工核查。
- 出口 ASN 抽查。定期抽样出口 IP,反查其 ASN 归属。如果你从两个不同品牌买的代理,出口 ASN 高度重合,基本可以确认它们共享同一张上游网络。
- 事件期对照。把你的成功率曲线与公开的行业中断事件时间线(如本次 NetNut 事件的 7 月 2 日至 4 日)对照。如果曲线在同一时间段出现异常,可以要求供应商书面说明其上游依赖,这也是重新谈判合同条款的筹码。
一个合格样板:拿 Bright Data 逐条对照
把上面的清单拿去逐条问一遍,能全部给出公开证据的服务商并不多。以我们能核对到的公开材料为准,Bright Data 在这份清单上的对照情况:
| 清单项 | Bright Data 的公开证据 |
|---|---|
| 来源与 SDK | 住宅 IP 主要来自 opt-in 的 SDK 合作与自家应用(如 EarnApp),非白标别人的池子 |
| 知情同意与退出 | 终端用户有明示同意、有回报、可随时退出 |
| KYC 与用途审核 | 强制 KYC 流程(公开口径含视频身份验证),有合规团队审核,公开可接受使用政策 |
| 滥用治理 | 公开滥用举报渠道,引入第三方合规审计 |
| 自营网络规模 | 自营网络覆盖 195 个国家和地区,公开口径 IP 总量超过 1.5 亿(住宅池超过 7,200 万) |

缺点也要说清楚:Bright Data 偏企业向,上手门槛和客单价都高于轻量级商家——住宅代理按量付费 $8/GB 起,不是市场最低价。如果只是小规模、低敏感度的任务,未必需要为这份合规溢价买单;但只要业务需要过安全或法务审查,这张对照表能省下大量来回确认的时间。
披露:本文含合作链接,通过链接下单本站可能获得佣金,不影响你的实际价格。
把这份清单用起来
这份清单解决的是「怎么查」。如果你想先搞清楚「为什么要查」,回看NetNut / Popa 事件报告;如果你怀疑某个品牌可能在白标别人的网络,用住宅代理供应链审计指南做技术侧交叉验证;如果团队还没有一套采集伦理规范,网页爬取伦理指南可以作为内部政策的起点。
下一步:如果你正在为 NetNut 找替代方案,直接看 2026 年 NetNut 替代方案榜单;事件完整时间线见 NetNut / Popa 事件报告。

