浏览器里的数字矿工，JS挖矿与比特币的前世今生

当你的浏览器成为“印钞机”

打开某个网站，页面突然卡顿，风扇狂转，任务管理器显示CPU占用率100%——你可能正经历一场“无声的盗窃”，这不是病毒，也不是系统故障，而是网页中隐藏的JS挖矿脚本正在利用你的设备资源“挖比特币”，近年来，JS挖矿（JavaScript Mining）作为一种低调却极具争议的“网络淘金热”，悄然潜入无数用户的浏览器，将普通网民变成 unwitting（不知情的）“数字矿工”，JS挖矿究竟是什么？它与比特币有何关联？又为何会引发如此大的争议？

从“挖矿”到“JS挖矿”：比特币的另类“开采”

要理解JS挖矿，得先从比特币的“挖矿”说起，作为全球首个去中心化数字货币，比特币的发行与流通依赖于“区块链”技术，而“挖矿”本质上是通过大量计算能力竞争解决复杂数学问题，从而“打包”交易数据到区块链中，并获得新发行的比特币作为奖励，这个过程需要专业的矿机（ASIC）和巨大的电力消耗，早期矿工多为专业团队或“矿场”。

随着比特币难度提升，个人挖矿的门槛越来越高，直到2011年，一种名为“JS挖矿”的技术应运而生，其核心思路是：既然挖矿依赖计算能力，那么为何不利用全球数亿网民的浏览器资源？通过在网页中嵌入JavaScript脚本，用户访问页面时，脚本会在其浏览器后台运行，调用CPU进行哈希运算（比特币挖矿的核心步骤），并将计算结果反馈给挖矿池（集合多个算力分配奖励的平台）。

这种模式迅速被不法分子盯上——无需用户授权，无需额外设备，只要有人访问网站，就能“借”其算力为自己挖矿，JS挖矿从一种技术实验，沦为某些网站牟利的“灰色产业”。

JS挖矿的运作：如何“绑架”你的浏览器？

JS挖矿的实现并不复杂，主要依赖三个关键环节：脚本嵌入、资源调用、收益分配。

1. 脚本嵌入：攻击者通常通过两种方式将挖矿脚本注入网站，一是直接篡改网站代码，如通过网站漏洞（如XSS跨站脚本攻击）或后台管理权限，在网页HTML中插入挖矿脚本；二是第三方广告/脚本劫持，许多网站依赖第三方广告平台，若广告商被植入挖矿代码，所有加载该广告的网站都会“中招”。

2. 资源调用：挖矿脚本的核心是调用浏览器的计算能力，以流行的Coinhive脚本为例，它会使用WebAssembly（一种高性能的二进制格式）加速哈希运算，占用用户CPU的50%-90%，由于脚本在后台运行，用户往往只会感到卡顿、发热，却难以直接察觉“元凶”。

   

3. 收益分配：挖矿脚本通常连接到“挖矿池”，用户的算力会实时汇入矿池，矿池根据贡献的算力比例分配收益，网站运营者则通过“按劳分配”获得一定比例的比特币（或门罗币等更易挖的加密货币），作为“流量变现”的手段。

争议与风险：当“挖矿”变成“掠夺”

尽管JS挖矿被某些网站美化为“用户自愿贡献资源，共享收益”的模式，但其本质是未经用户同意的资源占用，甚至演变为网络攻击的主要手段之一。

用户体验的“隐形杀手”

CPU被持续占用会导致浏览器卡顿、网页加载缓慢，移动设备还会因高耗电引发电量“跳水”，更严重的是，长时间高负荷运行可能缩短硬件寿命，尤其是笔记本电脑和手机。

安全与隐私的“黑洞”

挖矿脚本往往与恶意软件绑定，2017年“Coinhive事件”中，包括英国广播公司（BBC）、美国《纽约时报》在内的多家知名网站被植入挖矿代码，数百万用户“被挖矿”，部分挖矿脚本会窃取用户浏览数据、植入恶意插件，甚至将设备变成“僵尸网络”的一部分，用于更大规模的攻击。

法律与道德的“灰色地带”

多数国家的法律明确禁止未经用户同意占用其计算资源，欧盟《通用数据保护条例》（GDPR）将此类行为视为“未经授权的数据处理”，最高可处以全球年收入4%的罚款，由于挖矿脚本常通过境外服务器部署，追踪和打击难度极大。

监管与防御：如何拒绝“免费当矿工”？

面对JS挖矿的泛滥，用户、浏览器厂商和监管机构已开始多方防御。

用户端：主动“避坑”

• 安装防护插件：如NoScript（禁用脚本）、MinerBlock（专门拦截挖矿脚本）等，可自动识别并阻止常见挖矿代码。
• 关注浏览器权限：避免在不必要的网站上启用“JavaScript权限”，尤其对弹窗多、来源不明的网站保持警惕。
• 监控资源占用：定期查看任务管理器（Windows）或活动监视器（Mac），若发现异常CPU占用，及时关闭可疑标签页。

浏览器与平台：技术“堵漏”

Chrome、Firefox等浏览器已逐步升级“沙盒机制”，限制脚本对系统资源的访问；谷歌甚至直接屏蔽了已知的挖矿脚本网站，苹果app Store则严格禁止App内集成挖矿功能，从源头减少风险。

监管与行业：自律与他律

国际反恶意软件组织（AMBA）已将JS挖矿列为“恶意行为”，多家安全厂商将其纳入病毒库，部分网站开始采用“透明挖矿”模式——明确告知用户并请求授权，例如通过弹窗提示“本站使用您的算力挖矿，是否参与？”，并提供关闭选项，这种“阳光化”操作，或许能让JS挖矿从“掠夺”走向“共赢”。

技术中立，但需“戴着镣铐跳舞”