周鸿祎:360锁定3名潜伏长达十年的美国特工,并上报国家。时间是:哈尔滨亚冬会期间,我国赛事系统及能源、交通、国防等关键基础设施,遭遇高达27万次境外网络攻击,这一次,美国国安局的黑手被360彻底抓住 对很多搞网络安全的人来说,2026年3月真正该盯的地方,不是在斯特拉斯堡的投票大屏,而是在哈尔滨。 几天前,360市值定在843.45亿元,这背后不是一波股市情绪,而是刚刚打完的一场可以写进现代战争教材的网战。 2025年1月26日,哈尔滨亚冬会开幕,冰面上是运动员拼成绩,网线里却同时开打了另一场“看不见的战争”。 亚冬会的报名、门票、住宿、交通等业务系统先开始报警,紧接着,黑龙江省内的电力调度、水利监控,甚至一些涉军科研单位,也接连出现异常访问和攻击日志。 这不是几个小黑客瞎折腾,而是标准的饱和攻击:整整19天,累计攻击波次数接近27万,传统那种靠人工分析、靠几道防火墙扛一扛的防守方式,根本顶不住。 更棘手的是,这次美国国家安全局(NSA)旗下的“特定入侵行动办公室”上了新东西 , 大规模使用AI“智能黑客”。 简单说,就是给攻击程序装上了“脑子”:自动扫漏洞、自动生成利用代码、自动调整攻击路径。 再加上对方在欧美、亚洲租了一堆跳板服务器,配合伪造的数字证书,把来源伪装得干干净净,常规手段几乎抓不住把柄。 按以前的做法,中方最多就是不停救火:哪着了就灭哪,最后给个“疑似某某APT组织”的模糊结论,这事也就算结了。 这回不一样,360没有光顾着堵窟窿,而是把压箱底的东西全抬出来了,积累了近20年的、总量达3EB级的安全大数据,再加上自己做的全球网络空间测绘系统和AI模型分析。 这个体量有多大?可以粗暴理解成:全球网络里稍微大一点的风吹草动,它基本都能看到留痕。 在这么大一锅数据里,他们开始反推攻击源:先从27万次攻击流量里,把明显的垃圾流量和掩护流量剥掉,再盯住那些节奏、编码风格、工具组合都“有点眼熟”的小部分。 程序虽然是AI自动生成的,但操作者在选参数、定策略时,多少都会带点习惯,这些就是所谓的“数字指纹”。 到了2025年4月,反追踪取得突破。哈尔滨市公安局发布了一则悬赏通缉公告,点名通缉三名具体的美国网络人员,身份信息、工作背景一一对应。 也就是说,这次不是只打出一个模糊代号,而是把真实的人从幕后拉到了台面上。 对网络战来说,这是一次“改规则”的动作:以前境外APT进来搞破坏,最多背个组织名,这次,中国等于是告诉全世界,我不仅知道是你这伙人干的,还能查到你是谁、在哪上班、护照号是多少,之后可以按人追责,而不是对着一个代号干吼。 后来披露的信息显示,这几个人在中国的关键信息系统里潜伏了差不多十年,期间很可能多次得手,窃取情报、埋后门。 这次之所以翻车,一方面是他们自己在亚冬会上胃口太大,出手过猛,另一方面,也是因为中国这些年在被制裁、被卡脖子的情况下,硬是每年砸出几十亿去搞安全技术,才堆出了能做“实名追踪”的家底。 到2026年初的统计,中国发现并公开披露的境外APT组织里,九成以上都是360先挖出来的。 无论是之前攻击西北工业大学、地震监测中心的那些行动,还是这回围着亚冬会转的密集攻击,都指向同一只黑手,而且是这回算是被“当场逮住”。 从现在回头看,那19天里网线上的你来我往,比金牌榜好看多了:一边是美国情报部门把AI当“黑客无人机”往中国关键基础设施上砸,另一边,中国用多年积累的安全大数据和自己的AI模型,把对方一层层扒皮,最后扒到具体的人。 那三名被挂在通缉令上的外国特工名字,到今天还在公安系统的公开公告里列着,相当于一块长久的警示牌:在这个时代,就算你披着AI生成代码的“隐身斗篷”,只要敢在中国的电网、水利、科研系统里翻云覆雨,就得准备好哪天被人一寸一寸顺着网线追出来,按实名算账。 数字世界的边界一旦划清,谁来踩线,谁就要负责,这一次,伸过来的那只手,被硬生生按在了桌面上。 对此你怎么看? 信源:环球时报
