美軍內部文件曝光：新戰場通信系統漏洞百出風險極高

美國陸軍戰場通信網絡急需的現代化升級工作，目前大多由硅谷出身的公司負責。

當地時間10月3日，路透社披露的一份美國陸軍內部備忘錄寫到，由軍用無人機及軟件製造商安杜里爾（Anduril）主導研發、數據分析公司帕蘭提爾（Palantir）作為主要合作方提供支持的戰場通信系統，存在大量「基礎性安全」問題與漏洞，應被歸為「極高風險」等級。

據報道，Anduril近來宣稱，在贏得合同僅八周後，其研發的「下一代指揮與控制通信平台」（NGC2）原型機便已在戰場測試中投入使用。據介紹，這份政府合同價值約1億美元，合作方包括Palantir、微軟以及多家小型承包商。

然而，負責NGC2原型機授權事宜的美國陸軍首席技術官加布里埃爾·基烏利（Gabriele Chiulli），在寫於9月5日的內部備忘錄指出，其對NGC2初始產品的安全評價極為悲觀。

NGC2的核心功能是實現士兵、傳感器、車輛與指揮官之間的實時數據互聯。但這份聚焦於系統安全狀況的備忘錄稱，「我們無法控制誰能看到哪些信息，無法掌握用戶正在進行的操作，也無法驗證軟件本身是否安全。」

基烏利寫道，「鑑於該平台當前的安全狀況，以及其搭載的第三方應用程序，敵方極有可能獲得對該平台的持續且無法被檢測的訪問權限，因此該系統必須被視為極高風險對象。」

路透社引述其獲得的內部文件稱，備忘錄還指出，該系統允許任何獲得授權的用戶訪問所有應用程序和數據，無論用戶的安全許可等級或實際作戰需求如何。因此備忘錄強調，「任何用戶都有可能訪問並濫用敏感的」機密信息，且系統沒有日誌記錄功能來追蹤用戶的操作行為。

備忘錄還着重指出了其他缺陷，比如系統搭載的第三方應用程序均未通過美國陸軍的安全評估。其中一款應用程序被檢測出25個高嚴重性代碼漏洞。另有三款正在審核的應用程序，每款都包含超過200個需要評估的漏洞。

另據美媒報道，基烏利還在這份文件中措辭嚴厲地寫道，「（美國）陸軍缺乏確保平台安全性與完整性所需的可見性及管控能力。目前似乎存在一種傾向：急於將功能引入系統，卻缺乏實際的監督機制或執行流程，這進一步加劇了系統的風險。」

據路透社報道，這份備忘錄最早由美國軍事媒體「Breaking Defense」披露，隨即再次引發關於硅谷「快速行動、打破常規」的理念不適用於研發關鍵軍事裝備的批評。周五，Palantir的股價收盤下跌7.5%。Anduril目前尚未上市。

對此，Anduril回應稱，備忘錄所提出的問題已在「正常的開發流程」中得到解決。該公司在發送給路透社的一份聲明中表示，「這份報告反映的是之前的情況，並非該項目當前的實際狀態。」

Palantir的一位發言人則稱，在該公司的平台中「沒有發現任何漏洞」。

周五接受路透社採訪時，基烏利的上級、美國陸軍首席信息官萊昂內爾·加西加（Leonel Garciga）解釋稱，許多問題已在數周或數天內得到解決。

「據我所知，目前僅剩一款應用程序仍存在部分漏洞，相關團隊正在着手修復。」他補充稱，與供應商進行坦誠溝通至關重要。

加西加還透露，下周，NGC2系統所依賴的Palantir聯邦雲服務有望獲得美國陸軍的批准，得到一項名為「持續運行授權」（continuous authority to operate）的關鍵許可，從而能更快速地部署軟件更新。

「Breaking Defense」早前報道提到，NGC2是美國陸軍現代化的首要優先事項，預計於2026年進入全師級部署。美國第4機步師已啟動了一系列所謂「衝刺活動」（sprint events），旨在逐步為系統增加功能。

報道稱，基烏利的備忘錄發布於首場「衝刺活動」舉辦的前10天。他直言，缺陷的「累積效應」讓NGC2看起來更像是一個「黑匣子」，陸軍無法管控網絡中哪些用戶能執行特定操作、能查看哪些信息。

不過，美國陸軍官員並未具體說明備忘錄中提到的缺陷是通過何種方式、以及何時完善的。加西加僅稱，在9月15日舉行的活動中，NGC2的表現良好。

此後不久，負責美國陸軍網絡安全和網絡的副參謀長傑斯·雷伊（Jeth Rey）也為此辯護稱，儘早發現系統中的早期缺陷是該部隊預期流程的一部分。他強調，已經採取措施糾正這些缺陷。

他說，「這是一項全新的能力建設項目，我們發現了風險，並且立刻採取了緩解措施。對我們未來的工作而言，這是一個積極信號。如果我們能持續以這種方式開展工作，且現有流程切實有效，我對此表示滿意。」