中國黑客競賽助推該國宏大的網絡雄心——彭博社

Jamie Tarabay

2025-05-01

達斯汀·蔡爾茲至今仍能描述他在國際賽事中見過最精彩的黑客獲勝演示。那發生在近十年前。

參賽者需要找到方法入侵一台經過防火牆加固且軟件最新、安全性更高的Windows工作站。來自中國某隊成員在Windows瀏覽器中輸入一個IP地址後，“就放開鍵盤，僅此而已”。

該地址觸發的計算機代碼將中國隊的訪問權限從"訪客"提升為"主機"，賦予他們管理員權限，可任意安裝代碼、軟件或惡意程序。

觀看中國如何打造黑客軍團這是2017年Pwn2Own黑客大賽的現場，這項賽事吸引全球參賽者——主要來自網絡安全公司的分析師和研究員——尋找流行軟件和移動設備的新漏洞。彼時中國戰隊已參賽多年並持續稱霸。趨勢科技威脅情報主管蔡爾茲表示，這些隊伍來自高校、企業等不同領域。

自2009年起參與該賽事運營的蔡爾茲介紹，大賽最高榮譽稱為"破解大師"稱號。

“我們在2016年設立這個稱號。在中國戰隊停止參賽前，每屆冠軍都被他們包攬。“他説道。

這一國際認可也引起了國內批評人士的關注。

2017年，中國網絡安全公司奇虎360的億萬富翁創始人周鴻禕公開批評中國參與海外黑客馬拉松，認為中國專家發現的漏洞應保留在該國境內。作為中國共產黨政府政治諮詢委員會成員的周鴻禕的批評並未被忽視。

次年，Pwn2Own比賽中沒有中國團隊參賽。相反，中國開始舉辦自己的黑客競賽，稱為天府杯。據媒體報道，參賽者被鼓勵入侵蘋果操作系統、谷歌手機和微軟網絡。

但有一個區別。在Pwn2Own和其他黑客競賽中，發現的問題會報告給製造軟件或設備的公司，以便他們能在黑客利用之前修復。根據2018年的一項規定，中國黑客競賽的參賽者必須首先向政府報告這些漏洞。“實際上，這意味着漏洞被傳遞給國家用於行動，”美國網絡安全公司SentinelOne專注於中國的顧問達科塔·卡里説。

一個例子是，網絡安全專家指出，2019年穀歌報告稱，首屆天府杯上發現的漏洞與針對中國受迫害的維吾爾族羣體的黑客攻擊活動存在驚人相似之處。

周鴻禕圖片來源：VCG/視覺中國集團最近，代碼共享網站GitHub上出現了一批據稱來自中國網絡安全公司安洵（i-Soon）的文件，這些疑似泄露的數據表明，漏洞競賽、政府機構以及獲准接觸這些漏洞的網絡安全公司之間存在關聯。聊天記錄中包括安洵員工討論向中國公安部——該國主要警察機構——提交天府杯發現的零日漏洞的請求。大西洋理事會數字取證實驗室研究員温諾娜·德松布爾·伯恩森表示，文件顯示天府杯可能是公安部的“潛在漏洞輸送系統”，她研究了這些日誌。

今年3月，安洵數名員工因涉嫌受中國情報機構指使實施網絡攻擊，被美國當局起訴。中方否認相關指控。安洵公司未就指控作出回應，也未回覆置評請求。

在被問及漏洞披露問題時，中國外交部發言人表示，相關報告規定"旨在防止漏洞信息泄露和未經授權的披露”。

該發言人在北京向彭博社記者表示，規定"明確支持將安全漏洞信息直接提供給網絡產品供應商，包括外國組織和個人”。

記者未能聯繫到天府盃賽事代表置評。

計算機軟件和移動設備中的漏洞相對常見，促使軟件定期發佈補丁和設備更新以修復問題。對於犯罪黑客和網絡間諜而言，開發者此前未知的漏洞（即零日漏洞）尤其珍貴，因為無法立即提供修復方案，導致系統暴露在風險中。

部分公司專門從事零日漏洞挖掘，並將其出售給政府情報機構。

Pwn2Own賽事創立於2007年，旨在調查蘋果Mac OS X操作系統的潛在安全漏洞。此後，賽事向發現漏洞的優勝者頒發獎金，並將漏洞信息共享給相關軟件公司或設備製造商進行修復。

哨兵公司（Sentinel One）的卡里表示，包括中國選手在內的所有參賽者都遵守了這些規則。但在2018年中國團隊首次缺席Pwn2Own賽事時，北京方面就明確規定在中國黑客競賽中發現的漏洞必須向政府報告。

三年後生效的數據安全法規定，中國研究人員發現的漏洞——無論是在競賽中還是工作中發現的——必須直接上報中國工業和信息化部。法律還限制企業在政府處理漏洞前（48小時報告時限內）向任何第三方共享漏洞信息，違者將面臨嚴厲經濟處罰甚至法律訴訟。

專家表示，中國要求研究者向政府披露所發現計算機漏洞的政策，使其與美國等西方國家形成鮮明區別。

達斯汀·柴爾茲來源：達斯汀·柴爾茲"美國國家安全局不會強制我們向其披露此類信息，“柴爾茲談及美國國安局時表示。

研究中國網絡與外交政策逾十年的格雷格·奧斯汀指出，雖然不強制漏洞披露，但作為美國政府主導密碼學與信號情報的機構，國安局確實存在大量漏洞囤積行為。2016年，一個名為"影子經紀人"的組織泄露了一批據稱從國安局竊取的秘密軟件漏洞利用工具——本質上是黑客工具包。

“我們討論的是諸如中央情報局和國家安全局這類機構，他們發現了漏洞卻不願公開，以便能攻擊其他國家的系統，”他説，“中國也是如此。”

專家表示，自數據法生效以來，中國的黑客技術突破被更深地掩藏在保密之牆後。

“正面有一層面紗，我們看不到他們在做什麼以及他們的目標。只有當這些技術流入外界並實際用於攻擊真實目標時，我們才能看到結果，”柴爾茲説。

近年來，中國的黑客競賽也在演變。蘇黎世聯邦理工學院安全研究中心的高級網絡防禦研究員歐金尼奧·貝寧卡薩表示，除了挑戰參賽者入侵特斯拉或安全軟件外，現在這些賽事還包括中國電動汽車、手機和電腦。他密切關注這些比賽的在線報道，以獲取有關挑戰和公開結果的線索。

貝寧卡薩指出，對中國國內產品的日益關注與北京更廣泛的“去美國化”政策目標一致，旨在實現先進技術的自給自足並減少對外國供應商的依賴。與此同時，美中兩國繼續限制向對方出口關鍵技術組件。

“這凸顯了中國全面本土化信息技術基礎設施的目標，用國產核心組件替代外國製造的半導體、軟件和數據庫等，”貝寧卡薩説。