Hacker News 中文摘要

RSS订阅

鲜为人知的微软程序或使美国国防部面临黑客威胁 -- A little-known Microsoft program could expose the Defense Department to hackers

原文链接 | HN讨论 | 2025-07-16 10:11:06

文章摘要

微软使用中国工程师协助维护美国国防部的计算机系统,且缺乏美国人员的有效监督,导致高度敏感数据面临来自中国黑客的攻击风险。尽管相关人员多次警告这一安排存在固有风险,微软仍坚持并扩大了该计划。

文章总结

文章主要内容总结

标题: 微软的“数字护航员”可能使美国国防部数据暴露给中国黑客

发布时间: 2025年7月15日

主要内容:

  1. 中国技术支持: 微软使用位于中国的工程师来帮助维护美国国防部的计算机系统,而美国人员的监督非常有限。这些工程师被称为“数字护航员”,他们的主要任务是监督外国工程师的工作,防止间谍活动和破坏。

  2. 技能差距: 数字护航员通常缺乏足够的技术专长来监督那些拥有更高级技能的外国工程师,这使得高度敏感的数据容易受到黑客攻击。一些护航员是前军事人员,几乎没有编码经验,且工资仅略高于最低工资。

  3. 忽视警告: 多名参与相关工作的人员向ProPublica透露,他们曾警告微软这种安排存在固有风险,但公司仍然启动并扩展了该计划。

  4. 国家安全风险: 美国情报界和国会成员将中国的数字能力视为国家的主要威胁。中国黑客曾多次成功入侵美国政府系统,包括2023年入侵高级官员的云邮箱,窃取了大量敏感数据。

  5. 微软的回应: 微软表示,他们已经向联邦政府披露了护航员模式的细节,并强调其人员和承包商的操作符合美国政府的要求和流程。然而,前政府官员表示他们从未听说过数字护航员,甚至国防部的IT机构也难找到熟悉该计划的人。

  6. 技术支持的流程: 当微软的云产品需要技术支持时,中国的工程师会提交一个在线“工单”,然后由美国的护航员接手。工程师和护航员通过Microsoft Teams平台会面,工程师发送计算机命令给护航员,护航员将这些命令输入联邦云系统。这一过程为插入恶意代码提供了机会。

  7. 技能差距的持续存在: 护航员的技术能力不足以发现可疑活动,且他们通常无法理解工程师发送的复杂命令。尽管微软表示有内部审查流程(称为“Lockbox”)来确保请求的安全性,但护航员的能力仍然是一个薄弱环节。

  8. 历史背景: 微软在2011年推出了“数字护航员”模式,以应对其全球员工无法直接访问美国政府敏感数据的限制。该模式允许外国工程师在护航员的监督下工作,但护航员的技术能力不足使得这一安排存在重大风险。

  9. 未来的风险: 随着美中关系的恶化,专家警告称,中国可能会利用这一安排进行网络报复。微软总裁布拉德·史密斯在参议院听证会上表示,公司正在不断“将中国人赶出机构”,但未详细说明他们是如何进入的。

图片标记: - 图片1 - 图片2 - 图片3 - 图片4 - 图片5 - 图片6 - 图片7

结论: 微软的“数字护航员”模式虽然帮助公司赢得了联邦政府的云计算业务,但也为国家安全带来了重大风险。技能差距和缺乏有效监督使得敏感数据容易受到中国黑客的攻击,尤其是在美中关系紧张的背景下,这一风险更加严峻。

评论总结

  1. 微软使用中国工程师的安全隐患

    • 评论1指出,五角大楼禁止外国公民访问高度敏感数据,但微软通过使用中国工程师绕过这一规定。
      引用: "Pentagon bans foreign citizens from accessing highly sensitive data, but Microsoft bypasses this by using engineers in China..."
    • 评论9表示惊讶,美国政府竟然没有要求接触其系统的人员必须是经过审查的美国公民。
      引用: "I am flabbergasted that the United States government does not have a requirement that anyone who touches their systems MUST be a vetted US citizen."

  2. “数字陪同”程序的有效性

    • 评论5解释,“数字陪同”程序是后勤性质的,由拥有安全许可的美国公民监督中国软件工程师,但这些陪同人员可能缺乏代码审查的经验。
      引用: "The 'program' is a logistical one and not a software one in which Microsoft employs Chinese software engineers to be 'overseen' by US citizens that have security clearances..."
    • 评论6认为,“数字陪同”程序类似于人类KVM交换机,用于隔离操作,但效果不佳。
      引用: "So the digital escorts are basically human kvm switches to firewall things off... seems like a bad program."

  3. 文章对风险的夸大

    • 评论7指出,文章夸大了风险,强调该系统仅用于秘密级别以下的系统,且操作过程被记录和监控,顶级机密系统则使用经过审查的员工。
      引用: "This article is trying to show it as more scary than it is... The top secret stuff isn’t using this system; it’s using cleared staff."
    • 评论8认为,文章对风险的描述存在严重误导,政府完全清楚操作边界,且真正需要安全许可的操作由隔离云处理。
      引用: "The government is totally aware of where the operator boundary lies and this is still wildly mischaracterized."

  4. 微软技术债务问题

    • 评论3提到,微软的技术债务问题持续发酵。
      引用: "The Microsoft tech debt dumpster fire continues."

  5. 历史事件的关联

    • 评论10推测,微软的做法可能解释了美国人事管理局(OPM)数据泄露事件,认为微软可能通过电子邮件自愿提供了目标信息。
      引用: "well, I guess this probably explains the OPM breach... seems Microsoft was sending them targets by email voluntarily."