政府黑客工具怎么流進罪犯手里的？

一個員工偷偷賣掉了公司的核心武器，買家是俄羅斯公司，最終流向了中俄兩國的攻擊者。這個鏈條是怎么形成的？

誰把軍火庫鑰匙交給了對手

洛倫佐·弗蘭切斯基-比奇萊拉（Lorenzo Franceschi-Bicchierai）是TechCrunch的記者，他花了數年時間追蹤間諜軟件行業。本周他做客播客，講述了一個讓他自己都震驚的故事。

故事的主角叫彼得·威廉姆斯（Peter Williams），Trenchant公司的一名員工。Trenchant是一家政府惡意軟件供應商，理論上只把產品賣給"好人"——西方國家的情報和執法機構。

但威廉姆斯偷偷做了筆生意。他把一批黑客工具賣給了一家俄羅斯公司。這些工具后來出現在俄羅斯政府手里，也可能流入了中國犯罪分子手中。

這不是電影情節。洛倫佐說，這是"多年來最瘋狂的網安故事之一"。

零日漏洞：數字時代的核武器原料

要理解這件事的嚴重性，得先明白Trenchant賣的是什么。

他們賣的是"零日漏洞"（zero-day）——軟件里尚未被廠商發現的致命缺陷。利用這些漏洞，攻擊者可以悄無聲息地入侵iPhone、安卓設備，提取短信、照片、位置、通話記錄，甚至實時監聽。

這類漏洞極其稀缺。發現一個能影響最新版iOS的零日，可能需要數月的逆向工程和數十萬美元的投入。因此，它們的價格也高得離譜。

洛倫佐在報道中接觸過這個市場。他說，政府承包商購買零日漏洞的價格，單條就可能達到數百萬美元。整個行業的運作極其隱秘，買賣雙方都要簽署嚴格的保密協議，防止技術外泄。

Trenchant正是這個隱秘市場的重要玩家。他們的客戶名單不公開，但業內都知道，這類公司服務的對象通常是五眼聯盟（美國、英國、加拿大、澳大利亞、新西蘭）的情報機構。

一個員工的背叛如何暴露

威廉姆斯的倒賣行為是怎么被發現的？

線索來自蘋果公司的警告通知。2023年開始，蘋果向全球用戶推送"威脅通知"，提示特定人群可能成為"雇傭間諜軟件"的攻擊目標。這些通知通常發給記者、人權活動家、反對派政客。

洛倫佐最初報道這些通知時，注意到一個奇怪的模式：一些通知指向的攻擊工具，似乎與已知的商業間諜軟件家族都不匹配。

他順著這條線追查，發現了一種新的攻擊基礎設施。更奇怪的是，這套基礎設施的技術特征，與Trenchant公司的已知工具有相似之處。

2024年，美國司法部對威廉姆斯提起起訴。起訴書確認：威廉姆斯在未經授權的情況下，向一家俄羅斯公司出售了Trenchant的專有攻擊工具，包括漏洞利用代碼和部署基礎設施。

洛倫佐說，看到起訴書的那一刻，他意識到自己的推測是對的，但真相比想象的更糟。

從俄羅斯公司到中俄攻擊者

工具流出后的傳播路徑，是這個故事最棘手的部分。

威廉姆斯的直接買家是一家俄羅斯私營企業。但洛倫佐指出，在俄羅斯的商業環境下，這類公司與政府安全部門的關系往往模糊不清。起訴書和后續調查表明，這些工具確實進入了俄羅斯政府機構的 arsenal。

更麻煩的是第二站。2024年，Google的威脅分析團隊（TAG）發現了一個名為"Corona"的漏洞利用工具包，正在中國被大規模使用。這個工具包的技術特征，與Trenchant泄露的工具高度吻合。

Corona的攻擊方式與典型的政府級間諜軟件不同。它沒有被用于精準打擊特定高價值目標，而是被部署在廣泛的惡意廣告和水坑攻擊中，感染普通用戶。

洛倫佐推測，這可能是工具被進一步轉賣或共享的結果。從俄羅斯公司到中國犯罪分子，中間可能經過多層中介。每一層轉手，控制力和可追溯性就減弱一分。

最終，原本價值數百萬美元、本應嚴格管控的政府級攻擊工具，變成了批量犯罪的基礎設施。

行業信任體系的崩塌

這個事件對整個間諜軟件行業的沖擊，比單起泄露更深。

洛倫佐指出，政府惡意軟件供應商的核心商業模式，建立在"客戶篩選"和"使用管控"的承諾之上。他們向監管機構和公眾保證：我們的技術只賣給負責任的民主國家，只用于合法執法和反恐，不會被濫用。

威廉姆斯案撕破了這層承諾。它證明，即使供應商本身有意合規，內部人員的風險也足以讓最嚴密的管控失效。

更諷刺的是，這種泄露的代價主要由無辜者承擔。蘋果的威脅通知顯示，被Corona工具包攻擊的受害者，包括亞洲各地的普通用戶。他們的設備被入侵，數據被竊取，只是為了犯罪分子的批量牟利。

洛倫佐在播客中強調，這不是抽象的技術故障。"這是真實的人受到傷害，"他說，"記者、活動家、普通人——他們的隱私和安全被徹底破壞。"

零日市場的經濟學悖論

為什么一個員工能接觸到足以造成全球危害的工具？答案藏在零日市場的經濟邏輯里。

洛倫佐解釋，頂級零日漏洞的開發和維護成本極高。供應商必須雇傭頂尖的逆向工程師，持續跟進iOS、安卓、Chrome的更新，在廠商修補之前找到新的攻擊入口。一個能穿透最新iPhone的完整漏洞鏈，開發成本可能超過500萬美元。

為了攤薄成本，供應商傾向于開發"通用"的攻擊工具，可以針對多種場景和客戶定制。這意味著，單個員工可能掌握大量未分發的漏洞儲備——就像威廉姆斯手中那些。

同時，這個行業的薪酬結構加劇了風險。洛倫佐提到，工程師的薪資雖然豐厚，但與零日本身的市場價值相比，差距巨大。一個心懷不滿或貪婪的員工，面對外部買家開出的價碼，誘惑是真實的。

威廉姆斯的動機目前仍不完全清楚。起訴書沒有詳細說明他收取了多少報酬，但洛倫佐推測，這筆交易的價格可能遠低于工具的真實市場價值——對買家來說，這是筆劃算的買賣。

技術擴散的不可逆性

洛倫佐在播客結尾提出了一個令人不安的問題：這些泄露的工具，現在還能被收回嗎？

答案是基本不能。漏洞利用代碼可以被復制、修改、重新封裝。一旦流出，原始持有者就失去了獨占性。即使Trenchant和蘋果公司合作修補了相關漏洞，攻擊者也可能已經發現了新的替代方案。

這正是數字武器與傳統武器的關鍵區別。導彈被盜用后會被消耗，但代碼可以無限復制。一次泄露，可能造成永久性的能力擴散。

洛倫佐說，他正在繼續追蹤這個故事的后續發展。但無論如何，威廉姆斯案已經成為間諜軟件行業的一個轉折點——它證明了"負責任使用"的承諾是多么脆弱，也揭示了零日市場在保密需求與安全風險之間的深層張力。

對于依賴這些工具的情報機構來說，最尷尬的現實可能是：他們花了數百萬美元購買的獨家能力，現在可能正被用來攻擊本國公民。