一直以來，谷歌運營著許多在全球範圍內廣受尊敬的網路安全行動，例如，它的 Project Zero 負責發現嚴重而隱蔽的安全漏洞，而 Threat Analysis Group 則會直接對抗由朝鮮和俄羅斯等支援的駭客活動。

最近，這兩個團隊釣到一隻意料之外的大魚：一個“專業的”駭客團伙，該團伙企圖利用 11 項安全漏洞黑掉執行 iOS、安卓和 Windows 系統的裝置。

（來源：

MITTechnologyReview

）

但是，《麻省理工科技評論》瞭解到，上述駭客的真實身份其實是西方政府的特工，他們正在積極開展一項反恐行動。谷歌做出的阻止這次網路攻擊並將其公之於眾的決定，在公司內部引發了對立，並在美國及其盟國的知識分子群體內部引起了質疑。

該公司的最近兩篇部落格詳述了其發現的一系列過在去 9 個月時間內被用於駭客活動的零時差漏洞，利用這些漏洞進行的攻擊行為可追溯至 2020 年初，它們使用了史無前例的技術，具體是利用受感染的網站向訪問使用者提供惡意軟體的“水坑式攻擊”。由於規模龐大、複雜程度很高且傳播迅速，它們引起了網路安全專家們的注意。

然而，谷歌的公告顯然隱瞞了關鍵的細節，包括攻擊的實施者和目標群體分別是誰，以及關於惡意軟體或攻擊者使用的域名的重要技術資訊。通常情況下這些資訊至少會被部分披露給公眾，所以某位安全專家才會批評谷歌的報告是“一個黑洞”。

網路安全公司時常會阻止盟國政府利用安全漏洞，但這些事情基本不會被公之於眾。在迴應這次事件時，有些谷歌員工認為反恐行動應該保持在公眾視線之外；另一些員工則堅信谷歌完全有權將其公開，這是在保護使用者並改善網路安全環境。

在一份宣告中，谷歌的發言人稱：“Project Zero 致力於發現並修復零時差漏洞，以及釋出旨在促進整個研究群體瞭解新安全漏洞和攻擊技術的技術性研究。我們相信，共享此次研究成果能推動建立更好的防禦策略，並改善所有人的安全狀況。這個研究不是為了找人背鍋。”

確實，將駭客攻擊歸咎於特定團體不是 Project Zero 的行事風格，但與他們共事的威脅分析小組卻會這麼幹，谷歌省略的資訊遠不僅是駭客活動背後的政府的身份，透過這些被省略的資訊，谷歌團隊內部是知道攻擊者和目標的身份的。不過，目前尚不清楚谷歌是否提前通知了政府官員他們要公開並制止這次攻擊。

但是，據一位美國前高階情報官員所說，西方政府的行動是可辨認的。

“某些標誌性特徵是西方的行動獨有的……你能從程式碼中看出這些特徵，”這位前官員說——他未被授權對任何行動發表評論因而在此不具名。“在我看來，這體現了一個關鍵的倫理維度。人們對待由合法選舉產生的代議制政府主導、受民主監督的情報活動或執法活動的方式，和對待威權主義政權的此類行為的方式，是非常不同的。”

“監督在技術、手段和程式層面上都深刻地烙印於西方的行動之中，”此人補充道。

谷歌發現這個駭客團伙在僅僅 9 個月時間內就利用了 11 個零時差漏洞，這個數字已經很高了，遭到攻擊的軟體包括 iPhone 上的 Safari 瀏覽器，以及許多人們熟悉的產品，包括安卓和 Windows 裝置上的 Chrome 瀏覽器。

但谷歌內部的結論是，駭客是誰以及他們為什麼發起攻擊從來都沒有安全缺陷本身來的重要。今年早些時候，Project Zero 的 Maddie Stone 曾聲稱，駭客發現和利用嚴重的零時差漏洞太容易了，她和她的團隊在偵測零時差漏洞的戰線上面臨著一場硬仗。

谷歌不去關注行動的背後推手和目標是誰，而是決定為了所有人採取更廣泛的行動，其給出的理由是，就算今天利用漏洞的人是某個西方政府，這個漏洞早晚也會被其他勢力所用。所以，立刻馬上修復漏洞才是正確的選擇。

西方的網路安全團隊抓了盟國政府的駭客這種事情早已屢見不鮮了。然而，在安全團隊和駭客是友軍時——比如他們都服務於由美國、英國、加拿大、澳大利亞和紐西蘭組成的情報同盟“五眼聯盟”——有些公司會奉行沉默政策，不公開此類駭客活動。在谷歌的安全團隊中，一些成員曾在西方的情報機構工作，有的還為政府實施過駭客行動。

有些情況下，安全公司會不聲不響地清理掉所謂的“友軍”惡意軟體。

近期發表了關於私有企業網路安全調查的研究的前五角大樓官員 Sasha Romanosky 表示：“他們通常不會對美國政府的駭客活動進行攻擊歸因，他們告訴我們說，他們會特意避嫌。尋根究底之事不歸他們管，他們很禮貌地靠邊站了，（而）這是意料之中的。”

儘管谷歌這次搞出了個非常規狀況，但過去也發生過類似的事情。俄羅斯的網路安全公司卡巴斯基在 2018 年就因為曝光了一次美國領導的、針對中東的 ISIS 和基地組織成員進行的反恐行動而受到了抨擊。

美國官員聲稱，與谷歌的做法類似，卡巴斯基也沒指名道姓地對這一安全威脅進行歸因，但總歸是曝光並阻止了它，這讓美國的特工失去了一個寶貴的監視程式，甚至威脅到了執行任務計程車兵的生命安全。

當時，卡巴斯基已經因其與俄羅斯政府的關係而被噴得很慘。最終，美國禁止了在政府系統中使用該公司的服務，但卡巴斯基自始至終都不承認和克里姆林宮有任何特殊的關係。

谷歌自己也曾處於類似的境地。2019 年，谷歌釋出過一項關於疑似美國政府駭客團隊的研究，雖然它從未進行明確的攻擊歸因，但那項研究關注行動早已是過去式。相比之下，谷歌最近的公告可是把一項正在進行中的網路間諜行動放在了聚光燈下。

在政府和谷歌公司內部引發的警惕表明，谷歌正處於困境中。

谷歌的安全團隊對公司的客戶負有責任，大家普遍期待他們能盡其所能地保護谷歌產品及其相應使用者免受駭客的攻擊。在本次事件中有一點值得注意：駭客利用的技術不僅會影響比如 Chrome 瀏覽器和安卓系統等谷歌產品，還會影響 iPhone。

各個團隊給自己劃定的職責範圍各不相同，Project Zero 的突出之處在於，它會在全網範圍內應對嚴重的安全漏洞，而非自掃門前雪、只關注谷歌自家的產品。

“我們為限制零時差漏洞而邁出的每一步，都在讓我們所有人變得更安全，”Maddie Stone

在

釋出最新一項研究時寫了這條推文。

她是 Project Zero 團隊中最受人尊敬的成員之一。

可有些人認為，儘管保護客戶免受駭客侵擾是很重要，但反恐行動是另一個層面上的事情，它可能關乎一些人的生死存亡，這遠非日常網路安全之所及。

當為西方國家工作的駭客發現網路安全漏洞時，有一套現成的方法來計算向受其影響的公司披露該漏洞的潛在成本與收益。美國政府稱其為“漏洞估值程式”。

批評者擔心美國的情報機構囤積了大量了漏洞以備利用，但美國的體系比包括其西方盟友在內的世界上絕大多數國家都要更制度化、更透明且覆蓋範圍更廣。

這個評估程式旨在讓政府官員得以在二者的收益間進行平衡：是為了日後將之用於獲取情報而對安全漏洞秘而不宣，還是為了更廣泛的利益而把漏洞告知科技公司以將其修復。

去年，美國國家安全域性做了件非同尋常的事，它承認向微軟報告了 Windows 系統的一箇舊有漏洞，這類由政府提交給企業的報告通常都是匿名且保密的。

但是，就算美國情報機構的披露程式可能會有透明性不足的情況發生，其它西方國家的類似程式也只會規模更小、更隱秘，或者只是不那麼制度化因而很容易規避。

“即使是其它西方民主國家，在很多情況下，對於他們國家安全機構所作所為的監管，其嚴格程度都遠不及我們美國，”Michael Daniel 說到。他曾任奧巴馬政府的白宮網路安全專員。

“議會監管的力度要低得多。這些國家也缺少像美國一樣的機構間協同工作程式。我很少誇美國，我們有許多的問題，但在這個領域中，我們真的有健全的程式，而其它西方民主國家就是沒有。”

被谷歌幹掉的這個駭客團伙能在如此短的時間內利用如此多的零時差漏洞，這一事實可能表明平衡性出了問題。但是，有些觀察者表示出對於進行中的反恐網路行動在關鍵時刻被終止後很難迅速重啟的擔憂。

“在美國的盟友中，有的國家能迅速重啟整項行動，但有的國家沒有這種能力，”這位不願意透露姓名的前美國高階情報官員說到。據其解釋，在反恐行動中，對突然失去攻擊能力或被目標發現的擔憂是很強烈的，在進行密集攻擊的“高度暴露階段”尤為如此。谷歌所擁有的終止整個行動的能力可能會成為更多齟齬的根源。

“這事兒還沒解決好，”這位官員說到，“人們正在逐漸意識到，像谷歌這樣的存在能如此迅速地讓如此強大的能力陷入癱瘓。”

瓜分6666元現金紅包！領取8%+理財券，每日限額3000份！