心智观察所: 美国网络安全智库的“反华合唱团”
[文/观察者网专栏作者心智观察所]
一、“微脱钩”的吹鼓手
2025年7月26日,美国社交媒体X上,认证为“中国网络安全问题专家”的达科塔·卡里(DakotaCary)突然开启了“猎巫”行动。他点名了十家互联网和网络安全企业,阿里巴巴、百度、安天、安恒、绿盟等都在其中。他列举了这些企业的公开资料中安全服务品类中有渗透测试服务的截图,并用红框标注:这些企业伪装成守护者,实为国家级黑客的“武器供应商”。
渗透测试服务是网络安全行业常见的服务品类,是网络安全公司为协助客户发现安全缺陷的一项基础服务。这一服务模式本来就是美国网络安全企业所创造的,全球主要网络安全企业,包括美国主流安全企业都提供该项服务,只是在称呼上,部分美国企业称之为“红队”(RedTeam)服务而已。
卡里是美国网络安全产业界最活跃的反华智库人物之一,被乔治城大学聘为兼职教授,也是大西洋理事会非常驻研究员。显然他不会不理解渗透测试服务的意义,但却信誓旦旦地把渗透测试服务歪曲为受雇佣的网络攻击服务,这让他的中国同业们感到匪夷所思。
卡里给中国厂商安天的“罪状”中针对性添加了两条,一条是其支持了中国政府曝光美国网络攻击的行动,二是其为美国情报机构NSA关注的情报目标。这两条都很离谱,捕获、分析、曝光网络攻击活动,是安全企业的本职工作,也是能力体现;而说安天是“NSA关注的情报目标”是来自斯诺登曝光的拱形(CamberDaDa)计划,这个计划的内容是NSA通过入侵全球运营商,从流量监听获取用户和安全厂商之间的邮件,来发现自身的攻击是否暴露。卡巴斯基等全球23家安全企业都是其关注的目标,其中包括安天。
卡里的真实意图,意在将中国网络安全企业从一项微软漏洞分享体系MAPP中剥离。MAPP(MicrosoftActiveProtectionsProgram微软主动防护计划)是一个由微软安全响应中心(MSRC)发起的全球性安全合作项目,旨在通过提前向认证安全厂商共享漏洞信息,缩短漏洞修复的防护窗口期,提升整体网络安全防御能力。微软分享漏洞信息给中国安全企业,也是让中国安全产品能有效防护Windows系统,本身是一件互惠共享的事情。
但卡里质疑微软公司,称微软在明知一些中国安全公司已加入CNNVD(中国的国家信息安全漏洞库)的情况下,还继续允许这些中国公司加入MAPP计划。他指责声称:微软公司没有严格筛选加入MAPP计划的实体公司的资格和条件。
经过一番预热,8月1日,卡里任职的美国网络安全企业哨兵一号(SentinelOne)公司突然发布报告《当特权访问落入“不法之徒”之手》,诬称19家参与微软MAPP计划的中国企业“可能泄露漏洞给政府黑客”。
迫于压力,微软公司于8月20日宣布“限制中国企业通过MAPP计划提前获取网络安全漏洞”。次日,卡里再次发帖,用欢欣的语气,使用“Gladtoseeit”赞扬微软此举。从卡里在社交平台喊话,到其所在机构发布报告,再到微软进行响应闭环,决策的互动只用了不到一个月时间。在美国反华政治正确的大气候中,卡里展示了他的能量。
卡里是美国网络安全智库圈活跃的反华吹鼓手。在美国的智库体系中,有若干位具备不同领域专业背景并长期研究网络安全问题的人士,他们并非美国政府或军队的现职人员,但往往就职于带有鲜明的美国军方或情报机构的旋转门企业,或者在NGO研究组织担任研究员。他们在美国政府、军队和产业体系中拥有很大话语权和影响力,这些人的统一符号就是有极度反华的政治立场,他们绞尽脑汁,不断在网络安全问题上抹黑中国,为美国政府和情报机构打压中国,绞杀中国关键网络安全企业出谋划策。他们组成了美国网络空间智库的“反华合唱团”。
二、2012听证会:主唱登场,旋转门开启
卡里是“反华合唱团”的明星,但并不是最早的代表人物。合唱团的首任领唱无疑是在曼迪昂特(Mandiant)任首席安全官的理查德·贝特利希(RichardBejtlich)。
贝特利希是带着鲜明的“旋转门”色彩的网络安全专家,他曾服役于美国空军,在美空军CERT(网络安全应急响应小组)担任实时入侵检测主管。2012年3月26日,美国国会的美中经济与安全审查委员会(USCC)举行“中国的网空能力与核能力发展”听证会,三位美方专家就中国网空活动问题在听证会作证,贝特利希就是其中之一。
贝特利希在听证会上诬称“中国政府,特别是其军队,是进行大规模、持续性网络间谍活动的主要实施者。”这次美国国会听证会,开启了美国在网络空间正式以中国为首要假想敌的第一个十年周期。
2012年听证会是美方持续筹划的结果,在网络这个决定未来的空间中,美方需要一个假想敌。特别是当美方自己不想再掩饰“网空能力作用于军事和情报领域”的价值时,自然认为“审查中国网空能力变得更加重要”。
此时,在网络攻击活动上,美方认为自己已成为“山巅之国”。2010年震网事件曝光,美国情报机构预谋多年,通过网络攻击方式攻击伊朗铀离心设施的行动大获成功。而后在中东、在中国,陆续发现了火焰、高斯、毒库等蠕虫木马攻击活动。国际安全企业卡巴斯基、中国安全企业安天等发布了多份技术报告,证实了这些攻击与震网的同源关系,但这些努力在美国把持的国际舆论场的引导下,并未形成世界各国对美国网络攻击活动的警惕和外交压力。这让美方在对其他国家的网络安全问题横加指责时,完全没有“贼喊捉贼”带来的心理压力。2012年USCC听证会成为美国在网空领域全面打压中国的一次重要策源点,在贝特利希的登场和鼓吹下,美方确立了“点名羞辱”这一初始策略,指责中方正常捍卫自身安全的合理活动,并全力打压中国信息化和网络安全企业,其绞杀的头号目标自然是已经在数字通讯领域全球领先的华为。
贝特利希随后在同年11月向国会提交的年度报告中对中国网空活动进行无端指责,建议美国国会对中国的“网络间谍”活动行为进行深入评估,对从“间谍活动”中获利的企业施加更加严厉的惩罚,主张将网络攻击的责任直接归咎于具体的国家和实体。
此时美国政府、企业和金融的旋转门已经在悄然转动中。投名状、标的、收购方、政府订单都已经准备完毕。次年2月20日,贝特利希就职的曼迪昂特公司炮制了臭名昭著的APT1报告,抹黑中国网络安全问题。美国网络安全企业的“上市保送生”火眼公司(FireEye)迅速跟进,加入到发布技术报告抹黑中国的接力中,并于2013年9月以亏损业绩登陆纳斯达克。其上市后的第一个大动作,就是在2014年1月收购了曼迪昂特。而火眼当年便获美国家安全局2.3亿美元合同大单,之后更将美国政府和情报机构的订单拿到手软,旋转门的链条完整闭环,史密斯专员落袋为安。
杜鲁门说:“信仰自由、言论自由和企业自由。这前两种自由与第三种自由息息相关”。一语道破了美式价值观背后的寡头资本利益本质。
