微軟正在使用來自中國的工程師協助維護美國國防部的雲端計算系統,這些工作在僅有最低程度美方監督的情況下進行。根據調查機構ProPublica的報導,此舉可能將國家最敏感的資訊暴露在主要對手的網路威脅之下。
這一安排對微軟贏得美國聯邦政府的雲端合約至關重要,根據規定,微軟須使用持有安全許可的美國公民對外國工程師進行監督,這些美方員工被稱為「數位護衛」。他們理應作為防止間諜行動與破壞行為的屏障。然而,ProPublica發現,許多護衛缺乏必要的技術專業,有些甚至是薪資接近最低工資的前軍事人員。
一位現任護衛匿名表示:「我們信任他們不會蓄意搞破壞,但我們真的無法確認。」這項運作模式自近十年前已存在,但直到此次報導前未曾公開。
微軟向ProPublica表示,已向聯邦政府說明護衛制度的細節。然而,幾位前任政府官員表示,他們從未聽聞過此安排。國防資訊系統機構(DISA)的一位發言人坦言,他難以找到任何熟悉該計畫的人,說道:「真的沒有人知道這件事,所以我不知道接下來該怎麼辦。」
安全專家對這種安排感到震驚,尤其是在美國情報機構、國會與前川普政府領導人將中國的數位能力列為對美國網路安全的主要威脅之際。國家情報總監辦公室已明言,中國是對美國政府、私營部門與關鍵基礎設施網路「最活躍與持久的威脅」。
2023年,中國駭客曾入侵多位美國高階政府官員的雲端信箱,包括商務部長、美國駐中國大使與其他國安事務相關人員。僅從國務院,他們就竊取了約60,000封電子郵件。
儘管川普政府對間諜活動表示關切,包括提議撤銷部分中國學生簽證與強制出售中國持有的社群平台TikTok,專家指出,微軟的護衛制度對國安的潛在威脅遠遠高於這些措施。「如果我是間諜,我會把這視為極具價值的接入方式。我們需要對此非常關注,」曾任CIA與NSA高階主管的Harry Coker表示。
目前尚無證據顯示由中國工程師實際參與過網路攻擊,但多位安全專家與前情報官員認為,這樣的漏洞可能已造成損害,甚至是美國長年面臨網路安全挑戰的潛在根源之一。
微軟的護衛制度應用於處理雲端中「高影響級」的數據,這些資訊雖未達機密等級,但若外洩,將對美國軍事行動、經濟與人身安全產生重大影響。在國防部內,這類資訊屬於影響等級4或5,涵蓋直接支援軍事行動的數據。
拜登政府時期的前國防部首席資訊官John Sherman在得知此制度後表示震驚與擔憂,坦言自己在任期間毫無所悉。他認為應由DISA、網路司令部與其他單位展開全面審查。
DISA在書面聲明中僅表示,雲端服務供應商必須設立並維持對專業人員的審查與使用機制,但對護衛的資格審查問題未作具體回應。
目前尚不清楚其他政府雲端服務供應商是否也採用類似模式。亞馬遜雲端服務(AWS)與Google Cloud未回應置評請求,甲骨文也未發表評論。
微軟拒絕提供高層受訪,但表示其全球人員與承包商無權直接接觸客戶資料或系統。公司聲明中指出,護衛具備必要的安全許可與訓練,負責保護敏感資訊與防止濫用。此外,微軟強調,其內部有名為「鎖箱」(Lockbox)的審查機制來評估資訊安全性與授權流程,不過對該機制的具體運作細節並未說明。
多位內部知情人士表示,微軟內部早有員工,包括一位資深資安主管,曾警告該制度存在風險。即便在護衛監控下,外國工程師仍可能獲得對雲端結構的深入了解,而這類資訊對駭客而言極具價值。部分護衛本身缺乏識別異常行為的技術能力,使制度成為潛在漏洞。
一名曾參與護衛系統開發的微軟工程師Matthew Erickson坦言,即使是系統設計者也承認護衛難以識破技術上的偽裝行為。「如果某人執行一個看似正常的腳本名稱,如fix_servers.sh,但實際上執行的是惡意操作,護衛是不會知道的。」不過,他也表示,外籍工程師在系統中可影響的範圍有限。
儘管微軟對外強調制度安全,ProPublica的調查揭示了一個被低估的網路國安風險。隨著中國網路威脅與美國對敏感資訊安全的警戒日益升高,這一鮮為人知的監督制度是否能持續存在,將成為聯邦監管與國安單位無法迴避的問題。
(内文照片来自GOOGLE)
