近日一份来自美国陆军首席技术官办公室的内部备忘录引发广泛关注,该文档对由 Anduril 与 Palantir 等公司参与开发的下一代战场通信平台(NGC2)提出了严峻的安全评估,要求将系统视为"极高风险"。备忘录点名了访问控制、可见性、第三方应用漏洞与软件安全验证等关键缺陷,提示若不及时整改,系统在战场环境中可能被对手取得持久且难以察觉的访问权限。 NGC2 平台的目标是打通士兵、传感器、作战载具与指挥链之间的实时数据流,用更灵活、更数字化的指挥控制能力替代部分传统通信与手工流程。为加速交付,军方以原型合同快速赋能 Anduril、Palantir 与微软等企业,希望引入硅谷式的快速迭代与现代软件能力。尽管快速原型在演习中展示了令人印象深刻的效能,但备忘录暴露的安全问题表明,敏感军事系统的可靠性与安全性不能仅靠速度弥补。 备忘录核心问题之一是权限与隔离的不充分。
文档指出系统允许任何授权用户访问所有应用与数据,不论其安全许可等级或实际作战需要。这样的设计违背最小权限原则,使得敏感或机密信息容易被无关人员误用或泄露。此外,系统缺乏对用户行为的足够记录与审计,无法追溯谁在何时何地查看或修改了关键数据,从而在遭遇入侵或内部滥用时难以定位责任与修复范围。 另一个极为严重的问题在于第三方应用的安全态势。备忘录披露,托管在平台上的某些第三方软件未经过陆军安全评估,一款应用被发现存在多达 25 项高危代码漏洞,另有三款应用在审查中各自暴露出数百项待评估的弱点。软件组件与供应链的复杂性,使得平台整体安全性受制于最薄弱环节。
未经充分检测与加固的第三方模块,可能成为敌方利用的入口,绕过中心防御机制而直接影响战场态势。 备忘录作者为陆军首席技术官办公室的 Gabriele Chiulli,其评估显示在当时的安全态势下,系统面临"对手获得持久且难以察觉访问"的现实可能性。陆军首席信息官 Leonel Garciga 在对外说明中则表示,多数问题已在随后数周内得到修复与缓解,且 Palantir 的联邦云服务正在申请"连续授权运行"(continuous authority to operate),以便在后续部署中更快地向系统推送安全更新与修补程序。Anduril 对外称备忘录反映的是"过时的快照",Palantir 表示其平台未被发现存在漏洞,但市场对安全风险的担忧已对 Palantir 股价产生短期影响。 该事件在更广泛层面上反映出军用系统与商业软件工程文化之间的张力。硅谷式"快速试错、快速交付"的方法在民用互联网产品中行之有效,但军事系统的风险承受度远低于商业应用。
战场通信关系到生命与国家安全,漏洞带来的后果可能是战略级的。因此,如何在速度与安全之间找到合适平衡,既是技术问题也是采购与治理问题。 从技术角度看,几项关键改进与治理措施可以显著降低风险。首先,必须在系统设计中贯彻零信任与最小权限原则,严格定义用户角色、权限边界,并对敏感数据实行基于策略的访问控制。其次,应部署端到端的可审计日志体系,保证所有访问与操作都有可追溯的证据链,配合安全事件响应流程以实现及时检测与处置。再次,第三方应用的接入应强制实施软件成分清单(SBOM)、静态与动态代码分析、渗透测试与红队演练,确保任何外来组件在上线前经过独立安全验证并持续监测。
供应链安全也不容忽视。现代军用平台往往由多家供应商协同构建,任何一环的薄弱都可能导致系统整体被攻破。因此,军方在采购合同时需要对供应商的开发流程、安全文化与第三方依赖进行严格审查,并在合同中嵌入安全责任条款与应急响应义务。此外,建立统一的漏洞披露与修补机制、鼓励负责任的漏洞披露并设立赏金计划,可以提升外部安全研究者与防御方的协作效率。 制度与流程层面的改革也至关重要。快速原型与敏捷迭代需要配套的认证与持续授权机制,才能在保证安全的情况下实现频繁更新。
陆军提到的"连续授权运行"机制正是为了缩短从发现问题到批准修补的时间窗口,使得软件修复不再受传统繁复审批流程的拖累。同时,独立第三方评估与红队测试应成为原型阶段的常态,避免在系统进入战斗使用后才发现根本性缺陷。 在风险沟通方面,军方与供应商之间应保持更透明的沟通渠道。备忘录虽为内部文件,但公开披露后引发了大量公众与媒体关注,也暴露出政府与企业在信息发布节奏与内容上的摩擦。供应商若能及时、详实地说明其修复计划、时间表与外部评估结果,将有助于重建信任并减轻市场恐慌。军方亦需在保证国家安全的前提下,适度公开关键信息与评估结论,以便社会监督与学界技术交流。
这一事件对国防科技与军民融合发展具有示范意义。一方面,它证明了商业科技公司能在短时间内为军队带来显著能力提升,演习中数字化火力协调的效率提升便是实例。另一方面,它也警示国家在引入民用创新能力时必须同步建立相应的保障体系,不能以牺牲安全换取速度。未来的国防信息化既需要开放创新,也需要更成熟的风险治理框架。 对战略层面的影响应被严肃对待。若关键通信与数据平台在战时被对手渗透,后果可能包括情报泄露、态势误导、火力误判甚至作战失败。
为此,军方必须将信息系统的安全视为与武器硬件同等重要的国防要素。从战术终端到云端基础设施,从应用代码到运行环境的每一个环节都应纳入统一的防护体系之下。 展望未来,技术改进与治理并重将是必由之路。一方面,持续引入自动化的安全工具、强化身份认证与端到端加密、推动平台分段与最小化暴露面等技术手段可以降低系统被攻破的可能性。另一方面,采购制度的改革、合同与认证机制的更新、跨部门的协调与外部独立评估机构的参与,将为战场级软件系统提供制度上的保障。私营企业与军方需要共同承担责任,建立"可验证的安全"而非口头承诺。
结论并非简单将责任归咎于某一家公司或一种开发模式,而是要认识到国防信息化正在经历从硬件主导向软件驱动的深刻变革。在这一过程中,如何将敏捷创新与严苛安全要求有效结合,是决定未来战争胜负的重要课题。对 Anduril、Palantir 与美国陆军而言,短期的修补行动必须尽快完成,长期则需在体系、流程与文化上做出调整,以确保未来的战场通信既快速又真正可靠。只有在速度、功能与安全三者之间找到平衡,现代化指挥控制能力才能真正经受住实战检验并保障士兵与国家安全的根本利益。 。
