达沃斯的密室里坐着六十个人。
这不是随便凑的六十人——全是网络安全从业者,专程飞到瑞士来开闭门会议,讨论美国关键基础设施的安全威胁。主持人在台上说起「盐台风」行动,随口问了一句:有多少人知道这件事?
五个人举手。
六十分之五。John Doyle站在人群里,看着这一幕,心里泛起一种奇异的滋味——不是那种「终于被证实了」的宽慰,而更像是一个人跌入深水区之后才意识到周围没人会游泳。
他两年前已经知道了。
从绿色贝雷帽到电话运营商
2003年,John Doyle从大学毕业,直接入伍,成为陆军特种部队——绿色贝雷帽。那一年美国刚刚入侵伊拉克。他在部队待了五年,2008年退役,然后做了一个反直觉的选择:去哈佛法学院。
「我很早就知道自己不想当律师。」
然而他还是拿到了学位,通过了律师资格考试,然后头也不回地去了Palantir。那是2012年前后,Palantir还没上市,公司里聚集着一批对政府情报系统着迷的工程师和前官员。Doyle在那里待了九年,最后五年主管国家安全业务。
正是在这段时间里,他开始注意到一件令他不安的事:商业蜂窝网络里藏着一个系统性的、几乎没人认真对待的漏洞。
不是某个具体的软件缺陷,而是整个行业的设计哲学——它假设基础设施是安全的。
2022年,他离开Palantir,创立了Cape。
盐台风究竟是什么
严格来说,「盐台风」是一个APT组织的代号——一群为中国政府工作的黑客,专门攻击关键基础设施。但当这个代号和美国电信网络联系在一起时,它的含义就不只是技术层面的了。
他们入侵的,是运营商网络里的一个接口,叫做X1接口。
X1接口是什么?简单说,是合法监听的入口。当FBI需要对某个嫌疑人的手机实施监听时,他们向运营商发出请求,运营商通过X1接口接入,开始录音。这是美国法律规定的程序,叫做CALEA合规。
中国黑客控制了这个接口。
这意味着什么?意味着他们可以在任意时刻,打开任意一个美国人的通话记录。他们不需要申请法院令,不需要通知任何人,只需要——翻转一个开关。
更深一层:他们还能看到谁正在被监听。毒品卡特尔的嫌疑人、大陪审团调查的对象、正在进行中的反间谍行动……只要FBI在听,中国也在听。这套监控系统变成了一面双向镜。
故事在2024年底变得无法忽视:有报道证实,前总统候选人JD万斯的电话曾遭到监听。然后故事继续扩展——不只是美国几家大运营商,而是实际上全球所有主要运营商,都在不同程度上被这个组织渗透。
不能靠「排查」来解决的问题
消息出来之后,最直觉的反应是:把中国人找出来,清除掉。
但Justin Finelli不这么想。
Finelli是美国海军的CTO,电气工程出身,曾在DARPA、国防卫生局以及多个情报系统里工作。当他第一次听说Cape的技术演示时,脑子里浮现的不是「这能帮我们清除威胁」,而是一个关于关岛的问题。
关岛是美国在太平洋的战略支点。那里的电信基础设施已经被渗透——这不是猜测,是判断。怎么处理?
「与其去找所有中国人的踪迹,费了半天还不知道清没清干净,」Finelli说,「不如直接重装。就像给一台电脑做干净安装一样。」
这正是Cape的核心思路:假设物理基础设施已经沦陷。
Cape是一家MVNO——移动虚拟网络运营商。它不拥有任何信号塔,而是租用现有运营商的物理基础设施。但与此同时,它在这些基础设施之上,建立了一套完全独立的软件层——自己的移动核心网,部署在商业云上,采用行业最高标准的安全架构。
物理信号还是从同一根天线发出来,但数据在进入Cape的核心网之前,就已经完成加密。被渗透的基础设施只能看到一团密文。
他们在关岛测试了这套方案。测试结果做成了一份五十页的独立安全评估报告,由DIU(国防创新部门)出资委托,最终定为非涉密文件——可以公开分享,可以用于融资,可以跨军种使用。
明文密码文件
但故事还没完。
Cape在建设自己的合规监听系统时,需要找一家CALEA服务商——因为运营商在法律上必须响应合法监听请求,但这件事行政流程繁琐,绝大多数运营商都外包给专门的供应商来处理。
他们选了一家头部供应商,进入安装流程。
Cape有自己的安全响应团队,这在运营商里几乎是孤例。安全团队在分析安装包时,打开了其中一个文件。
那是一个明文文本文件。
里面存着这家供应商所有客户的用户名和密码。
「我没有具体证据说明他们是这么被黑进去的,」Doyle说,「但这件事发生在盐台风新闻爆出来前三个月。而中国黑客渗透的,正是X1接口——就是这些供应商接入的那个接口。联系起来看,并不难想象。」
Cape随即通知了供应商,换了合规服务商,把整件事归入了「行业安全基线低到令人发指」的证据档案里。
这不是某家供应商的特例。这是整个行业几十年来对安全问题的系统性漠视所累积的结果。当行业里没有人真正在乎的时候,「够用」就变成了标准。
海军是怎么开窍的
四年前,Cape刚起步时,业界流传一个说法:要卖给政府,去海军最后——他们是最难合作的。空军最快,海军陆战队也快但没钱,陆军居中,海军排最后。
这个说法在Finelli的推动下,正在失效。
他做的事情,说起来并不复杂:把采购逻辑从「需求导向」变成了「赌注逻辑」。传统军事采购需要先写需求文件,往往要花三年。Finelli的做法是:先跑小额试点,定义清楚「成功长什么样」,然后测量结果。
他们管这套评估标准叫「WHAMs」——世界级对齐指标。Doyle第一次听到这个说法时,内部团队觉得是个麻烦:反复迭代指标定义,比合同谈判还烦。
然而就是这个「烦」,让关岛试点在盐台风新闻出来的那一刻,变成了已经验证过的可用方案。不需要临时论证,不需要重新走流程——数据在那里,报告在那里,可以直接用。
海军今年的试点目标是二十五个。去年是五个。
网络中的网络
Cape目前在全球一百九十个国家提供服务,美国全境已经上线,消费者可以自助注册。去年,Cape与日本乐天联合进行了一次美日自卫队联合军事演习——在乐天的物理基础设施上,跑的是Cape的软件,用的是Cape对「加密穿越已感染基础设施」这一能力的验证。
Doyle把Cape的架构定义为「网络的网络」。在美国,当某一家运营商出现大规模故障时(过去六个月里,美国三大运营商中有两家发生过重大宕机),Cape的用户可以自动切换到另一家的物理基础设施——而安全层始终在那里,不随基础设施切换而失效。
这也是他在说明Cape的「韧性」时,强调的不是技术参数,而是一个反直觉的前提:与其期待基础设施不被攻破,不如假设它已经被攻破。
在这个假设之下,才能真正开始建设。
结尾
达沃斯那五个举手的人里,有没有Cape的人,Doyle没有特别说明。
但他说,那个场景让他想到Cape刚创业时的状态:他们把「中国可以利用电信网络看穿美国」写进了融资材料,投资人没有嘲笑他们,但那时候这件事也没有变得具体。
然后Salt Typhoon的故事被公开了。
「我们四年来一直在解决的,」他说,「是一个大家终于承认确实存在的问题。」
只是,承认问题和解决问题之间,还有一段距离。那段距离里,有一根信号塔,有一个X1接口,有一个明文密码文件,以及一家决定把安全基线从「够用」提到「真正安全」的小公司。
内容数据看板
核心数据(8个):
- 达沃斯闭门会议:60名网络安全专家,仅5人知道盐台风
- Cape 覆盖:190个国家,美国全境已上线
- 创立时间:2022年2月28日,距今约4年
- Palantir任职:9年,其中5年主管国家安全业务
- DIU独立安全评估报告:50页,非涉密可分享
- 美国国防科技VC:4年前4家,现168家(7年42倍增长)
- 海军试点:从每年2-5个扩展至目标25个
- 重大宕机:过去6个月美国三大运营商中2家发生
关键金句(5条):
- 金句1:与其去找所有中国人的踪迹,费了半天还不知道清没清干净,不如直接重装。
- 金句2:假设物理基础设施已经沦陷——这正是Cape的核心思路。
- 金句3:行业安全基线低到令人发指:最顶级的合规服务商,在安装包里放了一个明文密码文件。
- 金句4:与其期待基础设施不被攻破,不如假设它已经被攻破。
- 金句5:我们四年来一直在解决的,是一个大家终于承认确实存在的问题。
可延伸话题:
- MVNO模式的商业逻辑:Cape如何在不拥有基础设施的情况下提供比运营商更高的安全性
- CALEA合规生态的系统性风险:从一家供应商的明文密码到整个行业的共同漏洞
- 军民两用技术的新路径:DIU如何用「非涉密可分享的评估报告」打通商业与军事市场
- 美国国防科技投资生态:7年42倍,168家VC意味着什么
- 盐台风的国际影响:从美国运营商扩展至全球主要运营商的渗透版图