理查德·霍恩站在格拉斯哥的講臺上，面對臺下數(shù)百名網(wǎng)絡安全從業(yè)者，拋出了一個讓現(xiàn)場陷入沉默的數(shù)字——100。

這不是某個產(chǎn)品的用戶量，也不是一場網(wǎng)絡攻擊的損失金額。這是英國國家網(wǎng)絡安全中心最新評估中，擁有商業(yè)間諜軟件（一種通過利用手機或電腦系統(tǒng)漏洞入侵設備、竊取數(shù)據(jù)的工具）的國家數(shù)量。而就在兩年前，這個數(shù)字還是80。

從80到100：門檻崩塌的兩年

英國國家網(wǎng)絡安全中心計劃在周三發(fā)布的這份報告，核心發(fā)現(xiàn)可以用一句話概括：獲取監(jiān)控技術的門檻正在快速降低。

這種變化的速度超出預期。2023年，英國情報機構估計約有80個國家能夠使用此類黑客工具。短短兩年內(nèi)，這一數(shù)字增長了25%，達到100國——超過全球政府數(shù)量的一半。

門檻降低意味著什么？報告明確指出，外國政府和黑客針對英國公民、企業(yè)以及關鍵基礎設施的攻擊將變得"更容易"。這不是理論推測，而是基于情報監(jiān)測的評估結論。

商業(yè)間諜軟件的運作模式相對成熟。以以色列NSO集團的"飛馬"（Pegasus）和Paragon公司的"石墨"（Graphite）為代表，這類產(chǎn)品通常依賴發(fā)現(xiàn)并利用手機、電腦軟件中的安全漏洞，在目標毫無察覺的情況下入侵設備，提取通訊錄、短信、定位、郵件等敏感信息。

技術的擴散路徑值得關注。早期這類工具主要由少數(shù)西方公司向特定盟友國家出口，采購方需通過政府間協(xié)議和審查。但隨著技術知識的外溢、開源情報的豐富，以及更多國家本土安全產(chǎn)業(yè)的發(fā)展，獲取渠道明顯多元化。

受害者名單變了：從異見者到銀行家

英國情報機構的另一個關鍵發(fā)現(xiàn)是攻擊目標的"擴張"。

傳統(tǒng)認知中，間諜軟件的主要目標是政治人物、記者、人權活動人士——這類人群因掌握敏感信息或具備影響力而成為監(jiān)控對象。各國政府長期聲稱，此類技術僅用于打擊"頂級犯罪和恐怖嫌疑人"。

但安全研究人員和人權捍衛(wèi)者的持續(xù)追蹤早已推翻這一說法。多起公開調(diào)查顯示，間諜軟件被廣泛用于針對政府批評者和政治對手，包括調(diào)查腐敗的記者、反對黨成員、民間組織負責人等。

英國國家網(wǎng)絡安全中心現(xiàn)在確認，近年來的受害者范圍已"擴大"至銀行家和 wealthy businesspeople（富裕商界人士）。這一變化揭示了幾個值得深究的動向。

首先，經(jīng)濟動機正在上升。銀行家掌握的資金流向信息、商界人士的并購談判細節(jié)、投資決策過程，這些數(shù)據(jù)的商業(yè)價值可能超過傳統(tǒng)政治情報。對于某些國家行為體或受其庇護的實體而言，提前獲知這些信息意味著巨大的市場優(yōu)勢。

其次，攻擊成本與收益的算式發(fā)生了改變。當技術門檻降低、部署成本下降時，針對高凈值個人的監(jiān)控從"資源密集型行動"轉(zhuǎn)變?yōu)?可規(guī)?；僮?。一個銀行家的手機可能不如一位部長的手機難攻破，但其泄露的信息在特定場景下的變現(xiàn)能力并不遜色。

更值得警惕的是"目標降級"背后的能力溢出。當攻擊者能夠輕松覆蓋高價值商業(yè)目標時，其對更廣泛人群的監(jiān)控能力已經(jīng)成熟。銀行家可能只是測試新能力的試驗場，或是訓練人工智能分析系統(tǒng)的數(shù)據(jù)源。

霍恩的警告：企業(yè)"未能把握現(xiàn)實"

作為英國國家網(wǎng)絡安全中心的負責人，理查德·霍恩在CYBERUK年會上的發(fā)言措辭直接。

「英國企業(yè)未能把握當今世界的現(xiàn)實?！?/p>

這句話出自霍恩演講的預發(fā)布稿，被TechCrunch提前獲取。在網(wǎng)絡安全領域，這種級別的公開批評并不常見?；舳鞯拇朕o選擇暗示，問題不僅是技術層面的防護不足，更是認知層面的滯后。

他進一步指出，針對英國的大多數(shù)"國家重大網(wǎng)絡攻擊"源自"外國敵對政府"，而非網(wǎng)絡犯罪團伙。這一區(qū)分至關重要——它重新定義了企業(yè)面臨威脅的性質(zhì)。

網(wǎng)絡犯罪團伙通常以勒索、盜竊、轉(zhuǎn)售數(shù)據(jù)為直接目的，攻擊手段雖兇悍但可預測，防御策略相對成熟。國家支持的攻擊則不同：動機更復雜（政治、經(jīng)濟、戰(zhàn)略），資源更充裕，耐心更持久，且往往具備"潛伏"能力——在系統(tǒng)中長期駐留而不觸發(fā)警報，等待關鍵時機。

霍恩的警告針對的是英國企業(yè)的普遍心態(tài)。許多組織仍將網(wǎng)絡安全視為合規(guī)成本，投資于滿足審計要求的" checkbox security"（勾選框式安全），而非針對真實威脅的動態(tài)防御。當攻擊者是國家行為體時，這種防御姿態(tài)的脆弱性暴露無遺。

報告同時提及，英國及其他多國持續(xù)遭受與中國有關聯(lián)的入侵活動。這些活動的目標包括竊取敏感數(shù)據(jù)、監(jiān)控高知名度個人，以及"為潛在破壞性攻擊奠定基礎，以阻滯西方軍事行動"。

這一描述將當前的網(wǎng)絡安全態(tài)勢與地緣政治緊張直接關聯(lián)。間諜軟件和更廣泛的網(wǎng)絡入侵不再是孤立的技術問題，而是大國競爭的工具箱組成部分。企業(yè)數(shù)據(jù)、個人設備、關鍵基礎設施在其中扮演的角色，遠比傳統(tǒng)認知中更為關鍵。

商業(yè)間諜軟件的供應鏈困境

NSO集團和Paragon公司的名字出現(xiàn)在英國情報機構的報告中，并非偶然。這兩家以色列公司代表了商業(yè)間諜軟件產(chǎn)業(yè)的兩種典型模式。

NSO的"飛馬"是行業(yè)標桿產(chǎn)品，曾因多起針對記者和政治人物的監(jiān)控丑聞而陷入國際爭議。2021年，多家媒體聯(lián)合發(fā)布的"飛馬項目"調(diào)查披露，該軟件被用于監(jiān)控全球數(shù)十個國家的記者、律師和人權活動人士。此后，NSO遭受美國商務部制裁，被多家科技巨頭起訴，業(yè)務大幅收縮。

Paragon的"石墨"則是新一代產(chǎn)品的代表。該公司由前以色列軍事情報官員創(chuàng)立，采用"零點擊"攻擊技術——目標無需點擊任何鏈接或下載文件，僅需接收特定消息即可被入侵。這種技術降低了攻擊的可見性，提高了成功率。

這兩家公司的共同點是：它們的產(chǎn)品出口受到以色列政府監(jiān)管，采購方需獲得官方批準。但報告暗示的100國擁有監(jiān)控能力，遠超以色列官方批準的客戶名單。技術擴散的渠道包括：

第一，二手市場與轉(zhuǎn)售。部分早期采購國可能將技術轉(zhuǎn)售或共享給第三方，繞過原始出口管制。

第二，技術逆向與仿制。對繳獲設備的分析、前員工的流動、公開安全研究的積累，使得部分國家得以開發(fā)本土替代產(chǎn)品。

第三，新興供應商的涌現(xiàn)。NSO和Paragon只是最知名的品牌，全球范圍內(nèi)存在更多低調(diào)運營的商業(yè)間諜軟件公司，部分位于監(jiān)管寬松 jurisdictions（司法管轄區(qū)）。

這種供應鏈的復雜性，使得任何單一國家的出口管制都難以遏制技術擴散。英國情報機構的評估從側面承認了這一現(xiàn)實：當100個國家已經(jīng)擁有此類能力時，防擴散的重點已從"阻止獲取"轉(zhuǎn)向"應對后果"。

企業(yè)防御的結構性難題

霍恩批評英國企業(yè)"未能把握現(xiàn)實"，但將這一批評轉(zhuǎn)化為有效行動面臨結構性障礙。

間諜軟件的攻擊向量通常是軟件漏洞，尤其是尚未被廠商發(fā)現(xiàn)和修補的"零日漏洞"（zero-day）。對于企業(yè)而言，防御此類攻擊意味著：

依賴供應商的快速響應——但漏洞從被發(fā)現(xiàn)到被利用的時間窗口可能只有數(shù)天甚至數(shù)小時；

部署額外的監(jiān)控層——如終端檢測與響應（EDR）系統(tǒng)，但這需要持續(xù)的安全運營投入；

實施嚴格的攻擊面管理——減少可被利用的入口，但這與業(yè)務敏捷性往往沖突。

更具挑戰(zhàn)性的是"供應鏈攻擊"模式。攻擊者可能不直接針對目標企業(yè)，而是入侵其使用的第三方服務——如律師事務所、咨詢公司、通訊軟件供應商——從而間接獲取目標數(shù)據(jù)。這種模式下，企業(yè)自身的安全投入再完善，也可能因合作伙伴的漏洞而失效。

英國國家網(wǎng)絡安全中心的報告未提供具體的防御建議，但霍恩的發(fā)言暗示了方向：企業(yè)需要將網(wǎng)絡安全從IT部門的成本中心重新定位為戰(zhàn)略風險管理的核心職能，并將國家支持的攻擊納入威脅模型的常規(guī)假設。

監(jiān)管回應的滯后與困境

英國并非唯一關注商業(yè)間諜軟件擴散的國家。歐盟、美國、英國等國近年來加強了相關出口管制和制裁措施，但效果有限。

核心困境在于：商業(yè)間諜軟件的雙重用途性質(zhì)。同一技術可用于追蹤恐怖分子，也可用于壓制異見；同一漏洞利用鏈可用于執(zhí)法取證，也可用于商業(yè)間諜。監(jiān)管者難以在技術層面劃定清晰界限，只能依賴最終用戶審查——但正如報告所示，100國的擁有量表明審查機制存在顯著漏洞。

另一種監(jiān)管思路是限制漏洞本身的交易。部分國家推動"漏洞披露"政策，要求安全研究人員向廠商而非政府或中間商報告發(fā)現(xiàn)的漏洞。但間諜軟件公司往往擁有內(nèi)部研究團隊或與國家情報機構的密切聯(lián)系，能夠獨立發(fā)現(xiàn)漏洞，繞過這一機制。

英國情報機構選擇在CYBERUK年會上發(fā)布這一評估，本身是一種政策信號。將100國的數(shù)字公之于眾，既是對國內(nèi)企業(yè)的警告，也是對國際社會的施壓——要求更多國家加入出口管制框架，或至少承認技術擴散的失控現(xiàn)狀。

技術民主化的陰暗面

從更宏觀的視角看，商業(yè)間諜軟件的擴散是"技術民主化"趨勢的陰暗注腳。

過去二十年，計算能力、網(wǎng)絡基礎設施、人工智能等技術的成本急劇下降，使得個人和小型組織能夠完成以往只有國家才能實現(xiàn)的創(chuàng)新。這一趨勢催生了創(chuàng)業(yè)繁榮、科學進步和社會賦權，但也降低了破壞性能力的獲取門檻。

商業(yè)間諜軟件處于這一光譜的中間位置：它需要相當?shù)膶I(yè)知識和資源，但遠低于自主研發(fā)核武器或先進戰(zhàn)斗機。當100個國家能夠采購或仿制此類工具時，監(jiān)控能力從"大國特權"轉(zhuǎn)變?yōu)?中等國家標配"。

這一轉(zhuǎn)變對全球數(shù)字安全生態(tài)的影響深遠。信任——作為互聯(lián)網(wǎng)經(jīng)濟的基礎——進一步侵蝕。企業(yè)無法確定合作伙伴是否安全，個人無法確定設備是否私密，國家無法確定關鍵基礎設施是否 resilient（有韌性）。

英國國家網(wǎng)絡安全中心的報告沒有提出解決方案，但其披露的數(shù)據(jù)本身構成了行動的基礎。霍恩的直言不諱暗示，部分解決方案需要從認知轉(zhuǎn)變開始：承認威脅的真實性，放棄"我們不會成為目標"的僥幸心理，將資源從合規(guī)導向的防御重新配置為威脅導向的 resilience（韌性）建設。

對于科技從業(yè)者而言，這一評估提出了直接的職業(yè)問題。如果你所在的企業(yè)服務于金融、關鍵基礎設施、國防供應鏈或高知名度個人，你的威脅模型是否需要更新？你的安全預算是否與國家支持的攻擊者的能力相匹配？你的事件響應計劃是否假設了長期潛伏的高級持續(xù)性威脅（APT）？

這些問題沒有標準答案，但回避它們的風險正在上升——從80到100的數(shù)字變化，已經(jīng)說明了趨勢的方向。