近日一份来自美国陆军首席技术官办公室的内部备忘录将公众与产业界的目光再次聚焦到由安杜里尔(Anduril)与Palantir等企业参与开发的下一代战场通信平台NGC2上。备忘录将该平台当前安全态势定性为"非常高风险",指出系统在访问控制、用户行为可见性、软件完整性验证以及第三方应用管理方面存在严重缺陷。该结论随即在媒体与市场间引发连锁反应,促使国防界、承包商与安全社区对"硅谷式快速交付"方法在军用关键系统中的适用性展开更严肃的讨论。本文从备忘录披露的技术细节出发,解析其对作战安全与采购政策的影响,并提出可操作的改进建议与治理要点。备忘录的核心指控与现实背景备忘录由陆军首席技术官授权签发,核心问题集中在几个方面。首先是访问控制缺陷:在当前的原型实现中,任何被授权登录平台的用户都能访问平台上所有应用与数据,而不受身份安全等级或实际作战需要限制。
该问题违反了最基本的最低权限原则与作战分隔要求。其次是可审计性缺失:系统未建立充分的日志记录与行为审计能力,导致无法追踪用户操作、无法在事件发生后进行取证分析,也无法判断是否存在长期、隐蔽的对手入侵或滥用行为。第三是第三方应用与组件管理不当:备忘录指出若干第三方应用在安全评估中暴露大量高严重性漏洞,其中一款显示25项高危漏洞,另外三款各自包含超过200项需要评估的漏洞。最终结论强调,综合当前安全姿态,平台存在"对手获得持久且不可检测访问"的可能性,需将系统视为非常高风险。该份评估发布之际,安杜里尔与Palantir正联合数家厂商承接国防部约1亿美元的NGC2原型合同,且在近期公开测试中宣称系统可实现快速战场指挥与火控协同。企业反应与军方后续动作在备忘录曝光后,安杜里尔方面表示备忘录反映的是项目早期、已被后续开发周期修复的问题,称相关发现是"过时快照",并强调开发过程中已按正常流程不断解决缺陷。
Palantir则表示其平台本身并未发现漏洞,并指出其云服务正推进"持续授权运行"(Continuous ATO)以加速软件更新与安全认证流程。陆军首席信息官也表示部分问题在短期内已被修复,且对供应商保持坦诚沟通。尽管厂商提出异议,市场反应迅速,Palantir股价一度下挫超过7%,反映出投资者对国防合同中安全风险的敏感性。技术问题的深层次原因与应对思路要理解备忘录所揭示问题的重要性,需要把视角放在战场信息系统的独特需求上。与普通商业系统不同,军用网络必须同时满足高度保密、强隔离、高可用与可审计的要求。任何系统设计若忽视"作战最小权限、分区隔离与可追溯性",都会在冲突环境中带来灾难性后果。
访问控制与最小权限原则是战场系统的基石。备忘录指出NGC2在当前实现上将授权与访问范围划分过于宽泛,导致已认证用户可访问所有应用与数据。这个问题可能源自几个设计或实施层面的原因:权限模型设计不当、对任务需求的粒度建模不足、以及为追求快速部署而临时放宽访问控制以便演示功能。解决方案需要从策略到技术双向发力,建立细粒度的基于角色(RBAC)或基于属性(ABAC)的访问控制,并结合情境感知与任务驱动的权限下发。日志与监控缺失暴露的侦测空白在现代作战网络中,侦测与响应能力往往比单点防御更关键。备忘录对"无法看到用户行为、无法验证软件安全性"的控诉本质上指向侦测与可视化层面的空白。
无日志或日志不完整会导致入侵事件无法追踪、取证困难、恢复与补救时迟延加大。建立严格的审计链、不可篡改的日志存储、集中化安全信息与事件管理(SIEM)以及对关键行为的基线检测是必须补齐的能力。第三方组件与软件供应链风险的挑战现代软件大量依赖开源与第三方库,国防系统也不例外。然而军事系统对组件的安全与可控性要求更高。备忘录披露的数百项漏洞反映了缺乏有效的软件物料清单(SBOM)、成分审查与持续漏洞扫描机制。应对之道包括强制供应商提交SBOM、对第三方应用实施严格的代码审计与自动化扫描、进行动态与静态安全测试(DAST/SAST)、以及对高风险组件实施隔离运行或替代实现。
软件更新与部署机制的安全性问题此外,安全更新机制本身如未设计为可信、可验证与快速回应,也会成为对手利用的突破口。陆军对Palantir联邦云服务可能获批"持续授权运行"寄予厚望,因其可让软件更快获取安全授权与更新。但持续授权并非灵丹妙药,必须配合强制代码签名、基于硬件根信任的安全引导(Secure Boot)、加密的传输与存储以及可验证的回滚保护,才能在战场环境中安全地分发补丁与新能力。操作环境的隔离与分级在战场体系中,信息与任务的分类极为重要。平台若允许跨清晰性边界的访问,会增加情报泄露与误用风险。采用物理或逻辑隔离、容器化的多租户安全隔离、以及严格的跨分区访问审批流程是降低横向扩散风险的有效手段。
治理与采购流程的制度性改进备忘录暴露的问题不仅是技术实现的短板,也反映出在快速采购与原型化过程中,安全治理机制尚未与速度相匹配的制度缺口。国防采购在追求创新速度时,必须保留必要的合规性与安全门禁。建议在合同与任务书中将安全验收标准与交付里程碑明确绑定,要求供应商在每个迭代提供SBOM、安全测试报告、红队结果与可操作的风险缓解计划。引入第三方独立安全评估、渗透测试与合规性审查,并将结果作为付款或后续合同授予的条件,能有效平衡速度与安全。文化与方法论层面的调整:从"快速试错"到"安全优先"硅谷常见的"move fast and break things"文化在商业应用中激发创新,但在国防系统中这种做法可能带来不可承受的后果。必须在开发流程中植入安全思维,将DevSecOps作为常态,让安全成为每个交付周期的核心验收要素,而非事后补救项。
实现这一目标需要调整合同激励机制、培训研发团队的安全能力并在系统架构层面早期引入威胁建模。情报对抗与威胁持续存在的现实备忘录强调了系统可能被对手"持久且不可检测"地侵入的风险。现代对手具备长期潜伏、高级持续威胁(APT)与供应链渗透能力,一旦获得对指挥网络的持续访问,可能导致情报泄露、指挥误导、甚至武器系统误动作。应对这类威胁需要综合技术手段与运维实践,包括多层次防御、持续威胁情报共享、快速隔离与回滚能力,以及基于行为的异常检测。国家安全与产业合作的平衡两家企业在国防领域的崛起代表了工业生态的重塑:传统军工企业与新兴科技公司的合作能带来创新与成本优化,但同时也带来供应链复杂性与文化冲突。国防机构需在开放创新与安全保密之间找到平衡,明确哪些系统可以采用商用云与第三方应用,哪些则必须在更受控、经过认证的环境中运行。
未来走向与政策建议短期内,陆军与企业应共同集中资源修补已识别的问题,完成第三方应用的全面审计、补丁与隔离。中长期来看,国防部应建立更为明确的云服务认证路线图、普及SBOM与软件供应链审计、并推动一个统一的"国防零信任框架",将最小权限、强认证、加密、可审计与持续监控作为标准配置。同时,采购流程应纳入可衡量的安全关键绩效指标,保证未来项目不会在早期开发阶段就放弃对安全的严格把控。结语NGC2事件是一次警示,提醒业界在追求信息化与作战能力快速跃迁时,必须将安全放在同等重要的位置。技术创新与快速迭代能够带来战场优势,但只有在坚实的安全治理、可审计的设计与健全的供应链管理之上,这些优势才能在真实冲突中转化为可靠的作战能力。对于国防部门、承包商与政策制定者而言,如何在速度与安全之间找到可持续的平衡,将决定未来战场通信体系的可信度与生存能力。
。
