英国这次把话说得很重。英国国家网络安全中心(NCSC)公开警告,全球约100个国家已经拥有可入侵手机和电脑的商业间谍软件能力。这个数字高于英国在2023年的估算:当时是80个国家。
更值得看的是方向,不是点数。过去集中在少数情报机构手里的监控级入侵能力,正在被商业公司包装、销售、扩散。受影响的人,也不再只是记者和异议人士,英国点名提到的还包括银行家、富裕商人、英国企业和关键基础设施。
英国到底警告了什么
先把边界讲清。英国说的是“约100个国家拥有相关能力”,不是说100个国家都在大规模使用同一款工具,也不是每个国家都已被独立逐一证实。
但风险上升这件事,英国已经公开定调了。代表性的商业间谍软件包括 NSO Group 的 Pegasus,以及 Paragon 的 Graphite。它们的典型路径,是利用手机和电脑漏洞入侵设备,再窃取数据、通信内容和其他高价值信息。
| 关键信息 | 已知事实 | 这意味着什么 |
|---|---|---|
| 国家数量 | 英国NCSC称约100国具相关能力;2023年英国估算为80国 | 获取门槛还在下降 |
| 代表工具 | Pegasus、Graphite | 监控级入侵能力已成可交易商品 |
| 常见目标 | 记者、异议人士、银行家、富裕商人、英国企业、关键基础设施 | 风险已从人权议题外溢到商业与国家安全 |
| 攻击方式 | 利用手机和电脑漏洞窃取数据 | 手机不只是终端,还是情报入口 |
| 次生风险 | 工具泄露后可能被网络犯罪分子使用 | “国家级能力”会继续向灰黑产外溢 |
英国NCSC负责人 Richard Horne 的判断很直接:英国企业和关键基础设施,严重低估了间谍软件和其他网络威胁。这个警告的对象很明确,不只是政府部门,也包括企业世界。
真正变了的,是国家级能力开始商品化
我不太在意“80变100”本身。我更在意的是,国家能力开始进市场。天下熙熙,皆为利来。只要有人卖,就会有人买;只要能买到,扩散就不会停在少数强国手里。
这会改写很多公司的威胁模型。以前很多企业默认,手机入侵是政治人物、外交人员、记者才要担心的事。这个假设现在越来越站不住。银行家、富裕商人被英国点名,意思已经很清楚:只要你手里有交易、资金、供应链、并购、政策沟通这些高价值信息,你就可能成为目标。
对跨国公司、高管团队、投行、能源、通信、交通等行业,这不是抽象风险。手机里有通讯录、行程、聊天记录、邮件入口、认证短信、会议纪要截图。拿下一部手机,往往比攻进一台办公电脑更划算。
这里还有个常被忽略的现实约束:并不是所有普通用户都会遭遇国家级零点击攻击。目标仍然有层级,高价值人群和关键岗位更危险。问题不在“人人都会中招”,而在企业不能再拿这个理由继续轻视手机安全。
对关注网络安全与科技政策的读者,这条消息说明一件事:讨论商业间谍软件,已经不能只停在隐私和人权框架,还得看出口管制、政府采购、漏洞利用市场和跨境治理。
对企业风险负责人、安全团队和地缘技术从业者,动作层面更实际:高风险岗位的手机策略会更谨慎,敏感出差、并购谈判、政商接触场景下的设备管理会收紧;一些采购和部署决策也可能延后,先补高管终端、移动威胁检测和应急响应能力,再谈别的安全项目。
更麻烦的,是工具外流后的二次扩散
英国警告的不只是“更多政府买到了工具”,还有另一层:这类能力一旦泄露,就可能落到网络犯罪分子手里。
这也是为什么 DarkSword 泄露值得拿来对照。它被报道为可用于攻击现代 iPhone 和 iPad 的工具包,提醒外界一个老问题:高端利用链只要离开原来的控制边界,就会变成更大的公共风险。
这和当年的 EternalBlue 有相似处,但不完全一样。EternalBlue 从 NSA 武器库泄露后,成了后续大规模攻击的燃料。今天的商业间谍软件生态更市场化,买家更多,链条更分散,治理也更难统一。
所以威胁是双层的。第一层,是政府采购后的定向监控。第二层,是工具泄露、转卖、复用后,被灰黑产拿去扩大攻击面。前者更精准,后者更外溢。
接下来最该观察三件事:
- 英国和其他政府会不会继续上调“具备相关能力”的国家数量估算。
- 商业间谍软件的出口、采购和使用约束,会不会从口头谴责变成更硬的制度。
- 企业安全预算会不会真的向移动端倾斜,而不只是继续把手机当配件管理。
历史总在这个地方押韵:利器外流,治理滞后,代价外部化。铁路、电力、互联网都经历过这个阶段。区别只在于,这次外流的是监控和入侵能力,而手机正好是每个人随身携带的入口。
英国这次提醒得很到位:别再把手机入侵想成边缘风险。真正过时的不是工具,而是企业还在用老一代安全思维理解今天的对手。