美國零日漏洞交易市場已崩潰——彭博社

Patrick Howell O’Neill

2025-06-28

大西洋理事會新研究指出，美國的零日漏洞供應鏈已崩潰。

攝影師：托馬斯·特魯切爾/Photothek/Getty Images

以色列與伊朗的戰爭展示了一種新型網絡戰力：銀行與加密貨幣交易所遭入侵，伊朗全國互聯網癱瘓，即便在導彈橫飛之際，黑客攻擊仍被用作高調的戰略工具。

特朗普政府意圖更積極運用美國自身的進攻性網絡戰力。但實現這一願景面臨重大阻礙。大西洋理事會最新報告指出，美國的網絡攻擊供應鏈已支離破碎、效率低下，正被中國等競爭對手甩在身後。

“白宮、國會和國際社會都在熱議要更主動發動網絡攻擊，”大西洋理事會網絡供應鏈研究報告作者維諾娜·德索姆布·伯恩森表示，“這很鼓舞人心。但我的疑問是：我們是否有能力兑現？是否具備相應的人力、工具和技術支撐？”

她認為答案是否定的。

當被問及對《大西洋理事會報告》的評論時，白宮沒有立即回應置評請求。

所謂"零日漏洞"是指黑客利用前開發者未知的軟件缺陷和攻擊手段。這些漏洞極其重要，被包括中國在內的世界各國視為關鍵戰略資源——谷歌指出，中國是使用零日漏洞最多的國家。

2009年，中國黑客曾因使用多個零日漏洞入侵谷歌及多家國防承包商系統以獲取並可能修改源代碼而聞名。據報道，同期美國黑客也利用其掌握的多個零日漏洞攻擊並破壞了伊朗核計劃。單個零日漏洞售價可超百萬美元。

報告顯示，美國和中國等政府獲取零日漏洞的主要渠道，是一個由研究人員、企業和固化的中間商構成的全球灰色市場。

專注於國際事務的美國智庫大西洋理事會指出，向美國政府客户輸送這項關鍵技術的供應鏈效率低下：價格虛高且人才難覓。報告稱，軍工複合體中的大型國防承包商作為固化中間商，在研究人員與政府客户之間攫取價值卻貢獻甚微。

“主承包商讓太空領域變得比實際需要的更為混亂，”德松布爾·伯恩森解釋道，“他們經常將業務分包給小公司，甚至更糟的是，通過多級中間商轉手，導致政府連所依賴的網絡武器的原始來源都無從知曉。而且他們收取高得離譜的加價，有時利潤率接近1000%，因為每一層中間商都要抽成。”

關鍵在於，零日漏洞的供需嚴重失衡。研究表明，隨着全球可能僅存數百名研究人員從事相關研究，零日漏洞的獲取難度日益加大，採購成本也水漲船高。

德松布爾·伯恩森建議借鑑軟件行業現有模式進行改革，例如設立研究加速器和學術資助機制。她還提議在聯邦研發中心內設立政府資助的漏洞經紀機構，以優化流程效率。

這項新研究延續了2024年民主防禦基金會報告的觀點，該報告指出美國網絡戰備的另一根本缺陷在於相較中國存在人力、資源和專業知識的短缺。結合對美國獲取必要工具和技術能力的批評，現實圖景遠比’美國主導網絡領域’的傳統認知更為嚴峻。

大西洋理事會的研究基於數據分析及對進攻性網絡專家的訪談，受訪者包括白宮和美國政府官員、漏洞研究人員及供應商，他們用"糟糕透頂、效率低下且支離破碎"等詞彙描述美國零日漏洞開發現狀。

衞生官員本週披露，去年針對倫敦醫院的網絡攻擊導致一名患者死亡。事件源於2024年6月俄羅斯黑客組織攻擊了為英國國家醫療服務體系（NHS）提供血液檢測、輸血等病理服務的承包商Synnovis。此次入侵主要給倫敦東南部的醫療機構造成了重大危機。

受影響的NHS醫院集團之一——國王學院醫院NHS信託基金會在週三的聲明中表示，黑客攻擊是導致患者死亡的因素之一。這是衞生官員首次公開確認網絡攻擊直接或間接造成死亡的已知案例。

國王學院NHS信託發言人表示：“令人悲痛的是，一名患者在網絡攻擊期間意外死亡。“該發言人補充説，信託機構對患者死亡進行調查後發現，網絡攻擊導致血液檢測結果長時間延誤是重要誘因。

**有新聞線索嗎？**您可以通過以下方式聯繫帕特里克·豪威爾·奧尼爾：[email protected]。您還可以使用我們的SecureDrop安全且匿名地發送文件。