中国黑客竞赛助推该国宏大的网络雄心——彭博社

Jamie Tarabay

2025-05-01

达斯汀·蔡尔兹至今仍能描述他在国际赛事中见过最精彩的黑客获胜演示。那发生在近十年前。

参赛者需要找到方法入侵一台经过防火墙加固且软件最新、安全性更高的Windows工作站。来自中国某队成员在Windows浏览器中输入一个IP地址后，“就放开键盘，仅此而已”。

该地址触发的计算机代码将中国队的访问权限从"访客"提升为"主机"，赋予他们管理员权限，可任意安装代码、软件或恶意程序。

观看中国如何打造黑客军团这是2017年Pwn2Own黑客大赛的现场，这项赛事吸引全球参赛者——主要来自网络安全公司的分析师和研究员——寻找流行软件和移动设备的新漏洞。彼时中国战队已参赛多年并持续称霸。趋势科技威胁情报主管蔡尔兹表示，这些队伍来自高校、企业等不同领域。

自2009年起参与该赛事运营的蔡尔兹介绍，大赛最高荣誉称为"破解大师"称号。

“我们在2016年设立这个称号。在中国战队停止参赛前，每届冠军都被他们包揽。“他说道。

这一国际认可也引起了国内批评人士的关注。

2017年，中国网络安全公司奇虎360的亿万富翁创始人周鸿祎公开批评中国参与海外黑客马拉松，认为中国专家发现的漏洞应保留在该国境内。作为中国共产党政府政治咨询委员会成员的周鸿祎的批评并未被忽视。

次年，Pwn2Own比赛中没有中国团队参赛。相反，中国开始举办自己的黑客竞赛，称为天府杯。据媒体报道，参赛者被鼓励入侵苹果操作系统、谷歌手机和微软网络。

但有一个区别。在Pwn2Own和其他黑客竞赛中，发现的问题会报告给制造软件或设备的公司，以便他们能在黑客利用之前修复。根据2018年的一项规定，中国黑客竞赛的参赛者必须首先向政府报告这些漏洞。“实际上，这意味着漏洞被传递给国家用于行动，”美国网络安全公司SentinelOne专注于中国的顾问达科塔·卡里说。

一个例子是，网络安全专家指出，2019年谷歌报告称，首届天府杯上发现的漏洞与针对中国受迫害的维吾尔族群体的黑客攻击活动存在惊人相似之处。

周鸿祎图片来源：VCG/视觉中国集团最近，代码共享网站GitHub上出现了一批据称来自中国网络安全公司安洵（i-Soon）的文件，这些疑似泄露的数据表明，漏洞竞赛、政府机构以及获准接触这些漏洞的网络安全公司之间存在关联。聊天记录中包括安洵员工讨论向中国公安部——该国主要警察机构——提交天府杯发现的零日漏洞的请求。大西洋理事会数字取证实验室研究员温诺娜·德松布尔·伯恩森表示，文件显示天府杯可能是公安部的“潜在漏洞输送系统”，她研究了这些日志。

今年3月，安洵数名员工因涉嫌受中国情报机构指使实施网络攻击，被美国当局起诉。中方否认相关指控。安洵公司未就指控作出回应，也未回复置评请求。

在被问及漏洞披露问题时，中国外交部发言人表示，相关报告规定"旨在防止漏洞信息泄露和未经授权的披露”。

该发言人在北京向彭博社记者表示，规定"明确支持将安全漏洞信息直接提供给网络产品供应商，包括外国组织和个人”。

记者未能联系到天府杯赛事代表置评。

计算机软件和移动设备中的漏洞相对常见，促使软件定期发布补丁和设备更新以修复问题。对于犯罪黑客和网络间谍而言，开发者此前未知的漏洞（即零日漏洞）尤其珍贵，因为无法立即提供修复方案，导致系统暴露在风险中。

部分公司专门从事零日漏洞挖掘，并将其出售给政府情报机构。

Pwn2Own赛事创立于2007年，旨在调查苹果Mac OS X操作系统的潜在安全漏洞。此后，赛事向发现漏洞的优胜者颁发奖金，并将漏洞信息共享给相关软件公司或设备制造商进行修复。

哨兵公司（Sentinel One）的卡里表示，包括中国选手在内的所有参赛者都遵守了这些规则。但在2018年中国团队首次缺席Pwn2Own赛事时，北京方面就明确规定在中国黑客竞赛中发现的漏洞必须向政府报告。

三年后生效的数据安全法规定，中国研究人员发现的漏洞——无论是在竞赛中还是工作中发现的——必须直接上报中国工业和信息化部。法律还限制企业在政府处理漏洞前（48小时报告时限内）向任何第三方共享漏洞信息，违者将面临严厉经济处罚甚至法律诉讼。

专家表示，中国要求研究者向政府披露所发现计算机漏洞的政策，使其与美国等西方国家形成鲜明区别。

达斯汀·柴尔兹来源：达斯汀·柴尔兹"美国国家安全局不会强制我们向其披露此类信息，“柴尔兹谈及美国国安局时表示。

研究中国网络与外交政策逾十年的格雷格·奥斯汀指出，虽然不强制漏洞披露，但作为美国政府主导密码学与信号情报的机构，国安局确实存在大量漏洞囤积行为。2016年，一个名为"影子经纪人"的组织泄露了一批据称从国安局窃取的秘密软件漏洞利用工具——本质上是黑客工具包。

“我们讨论的是诸如中央情报局和国家安全局这类机构，他们发现了漏洞却不愿公开，以便能攻击其他国家的系统，”他说，“中国也是如此。”

专家表示，自数据法生效以来，中国的黑客技术突破被更深地掩藏在保密之墙后。

“正面有一层面纱，我们看不到他们在做什么以及他们的目标。只有当这些技术流入外界并实际用于攻击真实目标时，我们才能看到结果，”柴尔兹说。

近年来，中国的黑客竞赛也在演变。苏黎世联邦理工学院安全研究中心的高级网络防御研究员欧金尼奥·贝宁卡萨表示，除了挑战参赛者入侵特斯拉或安全软件外，现在这些赛事还包括中国电动汽车、手机和电脑。他密切关注这些比赛的在线报道，以获取有关挑战和公开结果的线索。

贝宁卡萨指出，对中国国内产品的日益关注与北京更广泛的“去美国化”政策目标一致，旨在实现先进技术的自给自足并减少对外国供应商的依赖。与此同时，美中两国继续限制向对方出口关键技术组件。

“这凸显了中国全面本土化信息技术基础设施的目标，用国产核心组件替代外国制造的半导体、软件和数据库等，”贝宁卡萨说。