美軍雲端靠中國工程師遠端維護？微軟「數位護衛」遭美國防部盯上

Louis Lin

1 小時前

微軟 (Microsoft) 於 7/15 被爆出，近十年來透過中國工程師遠端維護美國國防部電腦系統，卻僅由技術能力有限的「數位護衛」(Digital Escorts) 代為執行指令，讓中國駭客可趁虛而入。消息爆出後，美國國防部長 Pete Hegseth 表示已對此展開為期 2 週的調查行動。

Table of Contents

近十年才曝光的「數位護衛」制度，連國防部都不知道

這套制度起源於十年前，微軟為了拿下美國政府雲端合約，提出一個「折衷方案」，讓中國等海外工程師負責維護技術，再由持有美國國防部安全許可的美籍人員來代為輸入指令，被稱為「數位護衛」(Digital Escorts)。

而微軟委託外包商 Insight Global 和 ASM Research 招募護衛，大多是退伍軍人或僅具安全許可，時薪從 18 美元起跳，本身技術能力有限，無法辨別是否為惡意程式。一名現任護衛透露：

「我們每個月要處理好幾百件中國工程師的需求，還得防止資料「外洩」，但技術訓練根本無法補足落差，就算可疑指令會被發現，那也是事後實際上根本看不出來，只能相信這些工程師沒做壞事。」

而這套制度已經運作多年，且相當低調，連美國國防部資訊系統局 (DISA) 都表示「沒有人知道這回事」。

美國國家情報總監辦公室 (ODNI) 一直把中國視為最活躍的駭客威脅來源。2023 年時，中國駭客甚至入侵美國政府高層的雲端信箱，竊取 6 萬封國務院郵件。

前中情局 CIA 和國安局高層 Harry Coker 看到護衛制度後直言：

「如果我是中國情報員，這根本是絕佳的滲透機會。」

他強調這比抖音 (TikTok) 或中國留學生的間諜疑慮還嚴重得多。前國防部資訊長 John Sherman 聽到這件事也驚訝表示：

「照理說我應該要知道這件事，DISA 和美國網路司令部都該檢討。」

而有專家提醒，中國法律只要認定屬於「合法用途」，政府就能向企業或公民調取資料。換句話說，微軟在中國的員工隨時可能被要求配合情報單位提供資訊，讓護衛制度形同虛設。

以下是「數位護衛」的運作流程：

一位曾參與制度設計的微軟工程師 Matthew Erickson 坦言，護衛頂多稍微「懂一點技術」，真正的維修工作還是得靠海外工程師，護衛只是確保海外工程師看不到密碼或個資。

美國國防部規定，處理敏感資料的人必須是美國公民或綠卡持有者。但微軟團隊遍佈全球，中國、印度、歐洲都有大量工程師，要臨時僱用大量美籍工程師成本太高。

當年微軟的「FedRAMP 說客」Indy Crowley 遊說政府，稱雲端維護風險不比其他政府供應商大。國防部曾要求乾脆直接雇用美國工程師，但 Crowley 拒絕，因為成本會讓政府雲端轉型貴到做不起。最後微軟採取護衛制度作為最省錢又省力的方案，既能滿足國防部規定，又不用花大錢。

(註：聯邦風險與授權管理計畫 FedRAMP 是一個由美國聯邦政府推行的標準化計畫，為政府機關採用的雲端產品和服務提供統一的安全評估、授權和持續監控機制，確保這些雲端服務符合安全規範。)

微軟內部其實有人反對，認為安全風險太高，但當時的雲端平台主管 Tom Keane 力推該制度，因為能快速拓展業務。當初反對的人最後離職，護衛制度就這樣落地。之後陸續有微軟資安主管提醒，護衛制度存有漏洞，海外工程師可以知道美國聯邦雲端細節，而護衛根本抓不出問題，這些警告依舊沒有改變公司決策。

爭議曝光後，微軟自稱沒有讓公司旗下的中國工程師「直接接觸國防系統」，只是提供指令，而護衛有完整的技術訓練且配合監控，並強調還有「Lockbox」內部審核流程，但細節不公開。

微軟總裁 Brad Smith 也在 5 月參議院聽證會提到，公司正在「把中國籍人士從政府機構移除」，但並未說明他們當初是怎麼進入這些系統。而微軟發言人 Frank Shaw 也於 7/19 在推特 (X) 表示：

「不會有任何中國籍工程師為美國國防雲端及相關服務提供技術協助。」

美國國防部長 Pete Hegseth 針對此事也於 7/19 在推特 (X) 表示：

「將開啟為期兩週的調查行動，確保中國工程師全面退出國防部雲端服務，不再允許中國籍人士參與，並將持續監控、反制軍事基礎設施與網路威脅。」

風險提示

加密貨幣投資具有高度風險，其價格可能波動劇烈，您可能損失全部本金。請謹慎評估風險。