**微软项目曝安全漏洞,或成中国间谍渠道,专家深表担忧**
近期,《ProPublica》发布报告,指控微软为扩大其政府合同业务,允许中国工程师在安全措施不足的情况下协助五角大楼的云系统建设,引发国家安全专家对间谍活动的担忧。
该报告援引现任和前任员工以及政府承包商的说法,指出微软于2016年部署了一项云计算项目,旨在向政府出售其云服务,该项目被称为“数字护送”框架。这项安全措施旨在满足联邦承包法规,实际上是一个包含“数字护送”的项目,由全球网络安全官员(包括中国的官员)陪同,以便他们能够访问机构的计算系统。
国防部的指导方针要求,处理敏感数据的人员必须是美国公民或永久居民。但据《ProPublica》的消息来源透露,一些熟悉“数字护送”职位招聘过程的人士表示,这些被雇佣来监督的技术人员缺乏足够的技术专长,无法阻止不怀好意的中国员工入侵系统或将机密信息泄露给中国共产党。消息人士还详细说明,这些“护送”通常是退伍军人,他们被聘用更多是因为他们的安全许可,而不是他们的技术能力,他们往往缺乏评估工程师所使用代码的技能。
中国的法律规定,公民有义务配合政府的数据收集工作。
保守派团体State Armor Action的首席执行官兼创始人迈克尔·卢奇表示:“如果《ProPublica》的报告属实,微软已经制造了一场国家级的尴尬事件,危及我们的士兵、水手、飞行员和海军陆战队员。相关负责人应该受到惩罚,承担责任者应入狱,国会应展开广泛调查,以查明潜在的损害程度。微软或任何向中国提供访问五角大楼机密信息的供应商,其行为近乎叛国,应受到相应的对待。”
Hudson Institute外交政策高级研究员迈克尔·索博利克补充说:“这就像请狐狸来看守鸡舍,并给鸡配备木棍以防狐狸发怒。这简直令人难以置信。”
据《ProPublica》报道,微软使用其“护送”系统来处理低于“机密”级别的敏感政府信息,其中包括“涉及生命保护和金融崩溃的数据”。在国防部,这些数据被归类为“影响级别”四级和五级,据《ProPublica》报道,其中包括直接支持军事行动的材料。
微软发言人为该公司的“数字护送”模式辩护,称所有具有特权访问权限的人员和承包商都必须通过联邦政府批准的背景调查。发言人补充说:“对于某些技术请求,微软会通过授权的美国人员,聘请我们的全球主题专家团队提供支持,这符合美国政府的要求和流程。在这种情况下,全球支持人员无法直接访问客户数据或客户系统。”
国防信息系统局(DISA)公共信息办公室最初并不知晓该项目,但在《ProPublica》开始询问相关问题后,DISA最终指出,“数字护送”在国防部的“特定非机密环境”中用于“行业主题专家的先进问题诊断和解决”。
2023年,中国黑客入侵了微软的云服务器,窃取了属于美国高级政府官员的数据,包括商务部长、美国驻华大使以及其他参与国家安全工作的人员的数据和电子邮件。黑客还能够访问国防部的数万封电子邮件。联邦网络安全审查委员会的事后报告指出,微软的安全漏洞导致黑客入侵云服务器。然而,据《ProPublica》报道,该报告没有提及“数字护送”项目。
微软在回应《ProPublica》的最新报告时表示,它认为“任何”能够访问敏感政府系统的人员,无论其所在地或角色如何,都存在潜在风险。微软发言人表示:“我们在平台层面建立了多层缓解措施,包括安全和监控控制,以检测和预防威胁。这包括系统变更的审批流程和自动代码审查,以快速检测和预防漏洞的引入。”
发言人补充说,微软遵守国防部和联邦风险与授权管理计划(FedRAMP)概述的联邦安全要求。FedRAMP成立于2011年,旨在解决从完全由政府控制的服务器迁移到基于云的计算所带来的风险。
发言人总结说:“这种生产系统支持模式已获得美国政府的批准并定期接受审计。”
尽管如此,如果《ProPublica》的指控属实,卢奇表示,联邦政府应停止与微软的合作。“如果这些指控是可信的,联邦政府就不应再依赖微软来保护我们军人的数据安全,特别是考虑到微软多次被中国共产党入侵的历史,”卢奇周一表示。“如果供应商反复且故意地邀请敌人进入营地,我们的军队就无法在安全和保密的情况下运作。”
分析大模型:gemma2
得分:-70
原因:
文章主要关注中国可能通过微软的“数字护送”项目进行间谍活动,对中国的负面描述较多,例如提及中国法律要求公民配合政府数据收集,以及中国黑客入侵微软云服务器窃取美国政府官员数据等。
原文地址:National security experts raise concerns after Microsoft program exposed as possible avenue for Chinese spying
新闻日期:2025-07-15
