英國情報機構：100國已掌握手機監控技術

理查德·霍恩站在格拉斯哥的講臺上，面對臺下數百名網絡安全從業者，拋出了一個讓現場陷入沉默的數字——100。

這不是某個產品的用戶量，也不是一場網絡攻擊的損失金額。這是英國國家網絡安全中心最新評估中，擁有商業間諜軟件（一種通過利用手機或電腦系統漏洞入侵設備、竊取數據的工具）的國家數量。而就在兩年前，這個數字還是80。

從80到100：門檻崩塌的兩年

英國國家網絡安全中心計劃在周三發布的這份報告，核心發現可以用一句話概括：獲取監控技術的門檻正在快速降低。

這種變化的速度超出預期。2023年，英國情報機構估計約有80個國家能夠使用此類黑客工具。短短兩年內，這一數字增長了25%，達到100國——超過全球政府數量的一半。

門檻降低意味著什么？報告明確指出，外國政府和黑客針對英國公民、企業以及關鍵基礎設施的攻擊將變得"更容易"。這不是理論推測，而是基于情報監測的評估結論。

商業間諜軟件的運作模式相對成熟。以以色列NSO集團的"飛馬"（Pegasus）和Paragon公司的"石墨"（Graphite）為代表，這類產品通常依賴發現并利用手機、電腦軟件中的安全漏洞，在目標毫無察覺的情況下入侵設備，提取通訊錄、短信、定位、郵件等敏感信息。

技術的擴散路徑值得關注。早期這類工具主要由少數西方公司向特定盟友國家出口，采購方需通過政府間協議和審查。但隨著技術知識的外溢、開源情報的豐富，以及更多國家本土安全產業的發展，獲取渠道明顯多元化。

受害者名單變了：從異見者到銀行家

英國情報機構的另一個關鍵發現是攻擊目標的"擴張"。

傳統認知中，間諜軟件的主要目標是政治人物、記者、人權活動人士——這類人群因掌握敏感信息或具備影響力而成為監控對象。各國政府長期聲稱，此類技術僅用于打擊"頂級犯罪和恐怖嫌疑人"。

但安全研究人員和人權捍衛者的持續追蹤早已推翻這一說法。多起公開調查顯示，間諜軟件被廣泛用于針對政府批評者和政治對手，包括調查腐敗的記者、反對黨成員、民間組織負責人等。

英國國家網絡安全中心現在確認，近年來的受害者范圍已"擴大"至銀行家和 wealthy businesspeople（富裕商界人士）。這一變化揭示了幾個值得深究的動向。

首先，經濟動機正在上升。銀行家掌握的資金流向信息、商界人士的并購談判細節、投資決策過程，這些數據的商業價值可能超過傳統政治情報。對于某些國家行為體或受其庇護的實體而言，提前獲知這些信息意味著巨大的市場優勢。

其次，攻擊成本與收益的算式發生了改變。當技術門檻降低、部署成本下降時，針對高凈值個人的監控從"資源密集型行動"轉變為"可規模化操作"。一個銀行家的手機可能不如一位部長的手機難攻破，但其泄露的信息在特定場景下的變現能力并不遜色。

更值得警惕的是"目標降級"背后的能力溢出。當攻擊者能夠輕松覆蓋高價值商業目標時，其對更廣泛人群的監控能力已經成熟。銀行家可能只是測試新能力的試驗場，或是訓練人工智能分析系統的數據源。

霍恩的警告：企業"未能把握現實"

作為英國國家網絡安全中心的負責人，理查德·霍恩在CYBERUK年會上的發言措辭直接。

「英國企業未能把握當今世界的現實。」

這句話出自霍恩演講的預發布稿，被TechCrunch提前獲取。在網絡安全領域，這種級別的公開批評并不常見。霍恩的措辭選擇暗示，問題不僅是技術層面的防護不足，更是認知層面的滯后。

他進一步指出，針對英國的大多數"國家重大網絡攻擊"源自"外國敵對政府"，而非網絡犯罪團伙。這一區分至關重要——它重新定義了企業面臨威脅的性質。

網絡犯罪團伙通常以勒索、盜竊、轉售數據為直接目的，攻擊手段雖兇悍但可預測，防御策略相對成熟。國家支持的攻擊則不同：動機更復雜（政治、經濟、戰略），資源更充裕，耐心更持久，且往往具備"潛伏"能力——在系統中長期駐留而不觸發警報，等待關鍵時機。

霍恩的警告針對的是英國企業的普遍心態。許多組織仍將網絡安全視為合規成本，投資于滿足審計要求的" checkbox security"（勾選框式安全），而非針對真實威脅的動態防御。當攻擊者是國家行為體時，這種防御姿態的脆弱性暴露無遺。

報告同時提及，英國及其他多國持續遭受與中國有關聯的入侵活動。這些活動的目標包括竊取敏感數據、監控高知名度個人，以及"為潛在破壞性攻擊奠定基礎，以阻滯西方軍事行動"。

這一描述將當前的網絡安全態勢與地緣政治緊張直接關聯。間諜軟件和更廣泛的網絡入侵不再是孤立的技術問題，而是大國競爭的工具箱組成部分。企業數據、個人設備、關鍵基礎設施在其中扮演的角色，遠比傳統認知中更為關鍵。

商業間諜軟件的供應鏈困境

NSO集團和Paragon公司的名字出現在英國情報機構的報告中，并非偶然。這兩家以色列公司代表了商業間諜軟件產業的兩種典型模式。

NSO的"飛馬"是行業標桿產品，曾因多起針對記者和政治人物的監控丑聞而陷入國際爭議。2021年，多家媒體聯合發布的"飛馬項目"調查披露，該軟件被用于監控全球數十個國家的記者、律師和人權活動人士。此后，NSO遭受美國商務部制裁，被多家科技巨頭起訴，業務大幅收縮。

Paragon的"石墨"則是新一代產品的代表。該公司由前以色列軍事情報官員創立，采用"零點擊"攻擊技術——目標無需點擊任何鏈接或下載文件，僅需接收特定消息即可被入侵。這種技術降低了攻擊的可見性，提高了成功率。

這兩家公司的共同點是：它們的產品出口受到以色列政府監管，采購方需獲得官方批準。但報告暗示的100國擁有監控能力，遠超以色列官方批準的客戶名單。技術擴散的渠道包括：

第一，二手市場與轉售。部分早期采購國可能將技術轉售或共享給第三方，繞過原始出口管制。

第二，技術逆向與仿制。對繳獲設備的分析、前員工的流動、公開安全研究的積累，使得部分國家得以開發本土替代產品。

第三，新興供應商的涌現。NSO和Paragon只是最知名的品牌，全球范圍內存在更多低調運營的商業間諜軟件公司，部分位于監管寬松 jurisdictions（司法管轄區）。

這種供應鏈的復雜性，使得任何單一國家的出口管制都難以遏制技術擴散。英國情報機構的評估從側面承認了這一現實：當100個國家已經擁有此類能力時，防擴散的重點已從"阻止獲取"轉向"應對后果"。

企業防御的結構性難題

霍恩批評英國企業"未能把握現實"，但將這一批評轉化為有效行動面臨結構性障礙。

間諜軟件的攻擊向量通常是軟件漏洞，尤其是尚未被廠商發現和修補的"零日漏洞"（zero-day）。對于企業而言，防御此類攻擊意味著：

依賴供應商的快速響應——但漏洞從被發現到被利用的時間窗口可能只有數天甚至數小時；

部署額外的監控層——如終端檢測與響應（EDR）系統，但這需要持續的安全運營投入；

實施嚴格的攻擊面管理——減少可被利用的入口，但這與業務敏捷性往往沖突。

更具挑戰性的是"供應鏈攻擊"模式。攻擊者可能不直接針對目標企業，而是入侵其使用的第三方服務——如律師事務所、咨詢公司、通訊軟件供應商——從而間接獲取目標數據。這種模式下，企業自身的安全投入再完善，也可能因合作伙伴的漏洞而失效。

英國國家網絡安全中心的報告未提供具體的防御建議，但霍恩的發言暗示了方向：企業需要將網絡安全從IT部門的成本中心重新定位為戰略風險管理的核心職能，并將國家支持的攻擊納入威脅模型的常規假設。

監管回應的滯后與困境

英國并非唯一關注商業間諜軟件擴散的國家。歐盟、美國、英國等國近年來加強了相關出口管制和制裁措施，但效果有限。

核心困境在于：商業間諜軟件的雙重用途性質。同一技術可用于追蹤恐怖分子，也可用于壓制異見；同一漏洞利用鏈可用于執法取證，也可用于商業間諜。監管者難以在技術層面劃定清晰界限，只能依賴最終用戶審查——但正如報告所示，100國的擁有量表明審查機制存在顯著漏洞。

另一種監管思路是限制漏洞本身的交易。部分國家推動"漏洞披露"政策，要求安全研究人員向廠商而非政府或中間商報告發現的漏洞。但間諜軟件公司往往擁有內部研究團隊或與國家情報機構的密切聯系，能夠獨立發現漏洞，繞過這一機制。

英國情報機構選擇在CYBERUK年會上發布這一評估，本身是一種政策信號。將100國的數字公之于眾，既是對國內企業的警告，也是對國際社會的施壓——要求更多國家加入出口管制框架，或至少承認技術擴散的失控現狀。

技術民主化的陰暗面

從更宏觀的視角看，商業間諜軟件的擴散是"技術民主化"趨勢的陰暗注腳。

過去二十年，計算能力、網絡基礎設施、人工智能等技術的成本急劇下降，使得個人和小型組織能夠完成以往只有國家才能實現的創新。這一趨勢催生了創業繁榮、科學進步和社會賦權，但也降低了破壞性能力的獲取門檻。

商業間諜軟件處于這一光譜的中間位置：它需要相當的專業知識和資源，但遠低于自主研發核武器或先進戰斗機。當100個國家能夠采購或仿制此類工具時，監控能力從"大國特權"轉變為"中等國家標配"。

這一轉變對全球數字安全生態的影響深遠。信任——作為互聯網經濟的基礎——進一步侵蝕。企業無法確定合作伙伴是否安全，個人無法確定設備是否私密，國家無法確定關鍵基礎設施是否 resilient（有韌性）。

英國國家網絡安全中心的報告沒有提出解決方案，但其披露的數據本身構成了行動的基礎。霍恩的直言不諱暗示，部分解決方案需要從認知轉變開始：承認威脅的真實性，放棄"我們不會成為目標"的僥幸心理，將資源從合規導向的防御重新配置為威脅導向的 resilience（韌性）建設。

對于科技從業者而言，這一評估提出了直接的職業問題。如果你所在的企業服務于金融、關鍵基礎設施、國防供應鏈或高知名度個人，你的威脅模型是否需要更新？你的安全預算是否與國家支持的攻擊者的能力相匹配？你的事件響應計劃是否假設了長期潛伏的高級持續性威脅（APT）？

這些問題沒有標準答案，但回避它們的風險正在上升——從80到100的數字變化，已經說明了趨勢的方向。