第243章 暗棋现身·“开源计划”背后的杀机(1/2)
京都,国家产业安全委员会办公室。
从日内瓦回国后,时差尚未完全倒过来,秦赐便投入了更棘手的工作中。峰会上抛出的“开源软件安全”议题,并非空穴来风,而是源于周影团队此前发现的一条重大线索。
会议室里,气氛凝重。屏幕上显示着复杂的代码流图谱和关联分析图。
周影指着图谱核心的几个红色节点:“已经确认,名为‘普罗米修斯’的国际开源基金会,在过去五年间,通过旗下多个项目,向我国超过两百所高校、五十余家重点科研院所,以及部分关键基础设施运营单位,提供了大量的开源代码库、开发工具和算力资助。”
“听起来像是正常的学术公益。”一位从工信部借调来的年轻专家小声说。
“问题在于‘馈赠’背后的标价。”周影切换画面,显示出几段高亮标记的代码,“我们对其中应用在智能电网调度系统、城市轨道交通信号系统、以及某大型银行核心交易系统的开源组件进行了深度审计。在这些组件的底层,发现了精心隐藏的‘后门逻辑’。”
她放大一段代码:“看这里,这是一个异常数据包处理函数。在正常情况下,它毫无作用。但当系统接收到含有特定加密标识、来自特定境外IP地址的伪装成合法维护指令的数据包时,这段逻辑会被触发。它可以做到:第一,在特定时间令系统运算负载陡增,导致响应迟缓甚至局部瘫痪;第二,将特定加密区域的内存数据,以碎片化方式悄悄混入正常日志流,发送出去;第三,最恶劣的,在极端情况下,可以执行预设的破坏性指令。”
会议室里一片寂静。大家都是技术或安全领域的行家,明白这意味着什么。这不是普通黑客行为,这是预埋的战略级数字炸弹。
“基金会背景?”秦赐沉声问。
“名义上是独立非营利组织,董事会成员来自多国学术界和产业界。”周影调出名单,“但我们深入追踪了其主要资金来源和关键决策者的关联网络。超过百分之六十的运营资金,来自三家注册在开曼群岛的基金。而这三家基金的最大有限合伙人,指向同一家美丽国资本集团——该集团的核心业务是国防军工和网络安全,其董事会中有多位前美军高级将领和情报官员。”
“‘普罗米修斯’……盗火的巨人。”秦赐冷笑,“名字倒是贴切。盗取的是我们赖以发展的技术之火,埋下的却是毁灭的引信。范围评估和影响?”
“涉及电力、交通、金融等高危领域的项目和单位,我们已经秘密通知,要求立即启动隔离和替代方案评估。但范围太广,很多代码已经深度集成,替换需要时间和巨大成本。而且,这只是我们已确认的。未发现的可能更多。”周影语气严峻,“更麻烦的是舆论和认知层面。开源理念在国内IT界,尤其是年轻开发者中,具有近乎‘政治正确’的地位。如果我们大规模排查甚至禁用某些流行开源组件,会遭遇巨大阻力。”
秦赐点点头,这在他的预料之中。“立刻起草一份紧急通知,以委员会办公室名义,联合工信、能源、交通、金融等关键部门,启动对涉及国家安全和国计民生的关键信息基础设施中开源组件的专项安全普查。普查分步走,先高危领域,再逐步扩大。要求所有单位自查,并上报使用清单和风险评估。”
命令迅速下达。然而,阻力比预想中来得更快、更猛。
第二天,国内计算机领域的泰斗、德高望重的郭永清院士,在接受一家知名财经媒体采访时,公开表达了对此次普查的“忧虑”。
“技术创新离不开开放合作,开源模式是当今软件发展的基石,凝聚了全球开发者的智慧。”镜头前,郭院士语重心长,“当然,安全很重要。但不能因为极个别潜在风险,就怀疑一切,搞‘一刀切’的排斥。这会导致我们与国际主流技术生态脱节,反而削弱自身安全。我们要做的是加强自身代码审计能力,参与国际开源社区治理,而不是关起门来。”
采访视频迅速传播。“院士呼吁避免因噎废食”、“开源无罪,安全有度”等话题开始发酵。一些技术圈KOL、自媒体纷纷跟进,将普查行动描绘成“保守势力对技术开放的倒退”、“可能扼杀我国互联网创新活力”。
压力不仅来自外部。在委员会内部的一次跨部门协调会上,秦赐也感受到了不同声音。
他的副手之一,刚从某顶尖大学计算机学院副院长位置调任而来的沈南博士,年仅三十八岁,是典型的“学者型官员”,思维敏捷,言辞犀利。
“秦主任,郭院士的担忧不无道理。”沈南在讨论普查具体范围时提出异议,“如果我们把普查范围定得过于宽泛,标准过于严苛,会不会造成‘寒蝉效应’?很多创新创业公司,尤其是中小型科技企业,其产品高度依赖成熟的开源生态。如果我们要求它们全部替换或进行代价高昂的重构,会不会直接拖垮它们?这和我们鼓励‘专精特新’的政策是否背离?”
他的发言有理有据,站在了产业发展的角度,赢得了会上部分代表的微微颔首。
秦赐看着沈南,这位副手能力出众,背景干净,在之前的几项工作中表现积极。但他的某些观点,尤其是对“开源”近乎无条件的推崇,总让秦赐觉得有些……过于纯粹。
“沈博士的顾虑很实际。”秦赐平静回应,“所以我们的普查是分级的,有重点的。保护国家安全是底线,这个底线之上,我们会充分考虑产业实际情况,提供过渡方案和技术支持。但底线不能模糊,风险必须正视。我们不能把国家和民众的安全,寄托在对他人‘善意’的假设上。”
沈南还想说什么,秦赐抬手制止:“这样,沈博士,你牵头,三天内拿出一份针对中小科技企业在普查中可能面临困难及应对建议的详细报告,要具体,有数据支撑。我们根据报告再细化政策。”
本章未完,点击下一页继续阅读。