前面八章谈的,大多是看得见的较量——关税有数字,军演有画面,导弹井有卫星图。这一章谈的,是一条几乎完全看不见的战线:情报与网络。

它看不见,有两层意思。一层是行动本身的隐蔽——间谍、黑客、渗透,按定义就是要避开公众视野。另一层是核查的困难——许多关于这条战线的信息,要么来自情报机构的通报(你只能选择信或不信),要么来自二手报道和截图(部分可核查),很少有像贸易数据那样可以独立验证的硬证据。

这种核查困难,本身就是这条战线最值得注意的特征。在贸易战里,关税税率写在公报上,双方都不否认;在军备问题上,导弹井可以从卫星图上数。但在网络战线上,几乎每一项指控都伴随着一项否认:美方说这是中国国家支持的行动,中方说这是美国情报机构编造的“虚假叙事”。读者很难像核对一张账单那样,去核对一次潜伏在路由器里两年的入侵。

所以这一章会格外注意区分:哪些是有官方通报支撑的、哪些是研究机构的归因、哪些只是迹象,又有哪些是被指控方的反驳。在一条本质上隐蔽的战线上,这种区分比别处更重要。本书的两条主线在这里以一种特别隐蔽的方式重现:决策结构的不对称,决定了双方用什么工具、由谁来用;而工具与场域的镜像,则让“窃取—预置—反间谍—立法”在两端各自找到对位物。

还有一个数字,可以先放在这里,作为整章的底色。2024 年 1 月 31 日,FBI 局长雷在众议院“美中战略竞争特设委员会”作证时说了一句后来被反复引用的话:中国的黑客项目,比其他所有大国加起来都大;即便把 FBI 全部网络特工和情报分析员都调来专门对付中国,中国黑客的人数仍会以至少 50 比 1 的比例超过他们1。这句话当然有它的政治语境——它是在为 FBI 争取更多预算的听证会上说的。但即便打个折扣,它也勾勒出这条战线的基本形状:一边是高度集中、规模庞大、可以自上而下调度的力量,另一边是分散在企业、监管、司法多个节点、必须层层协调的防御。

先看中国网络行动里最受关注的一个——“盐台风”(Salt Typhoon)。

按美方的归因,“盐台风”是一个高级持续性威胁组织,长期对美国及全球进行高调的网络间谍活动,最早可追溯到 2021 年2。2025 年 8 月 27 日,美国网络安全和基础设施安全局(CISA)联合联邦调查局(FBI)、国家安全局(NSA)以及十三个国家的网络与情报机构,发布了一份联合公告(编号 AA25-239A),把这个组织及其多个别名(OPERATOR PANDA、RedMike、UNC5807、GhostEmperor 等)的活动,归因为“中国国家支持”的行为者,并点名三家中国公司——四川聚信和、北京寰宇天穹、四川至信瑞捷——为中国情报和军方提供攻击能力2。这份公告的协作规模本身就不寻常:十几个政府机构同时署名,代表着西方情报体系一次罕见的集体定调3

这场行动的可见范围,是逐步揭开的。2024 年下半年起,有报道首次披露,一场严重的网络攻击侵入了美国的电信系统,而它很可能在被发现之前已经潜伏了一到两年。到 2024 年底,美国官员确认,与“盐台风”有关的黑客已经进入了九家美国电信公司的计算机系统,包括威瑞森、AT&T、T-Mobile 等主要运营商4。FBI 后来表示,这场行动在全球瞄准了 80 多个国家、约 600 个组织3

被触及的内容令人不安。被波及的三家主要运营商加起来覆盖约 3.97 亿用户;攻击者获取了通话记录、部分通话内容和短信,还访问了威瑞森口中“少数政府和政治领域的高价值客户”5。FBI 局长把它形容为美国历史上最重大的网络间谍行动之一,国会议员则称之为“史上最严重的电信黑客”——这类措辞在情报通报里并不常见,本身就说明了官方对事件严重性的判断5。更敏感的是,到 2026 年初,有报道称黑客访问了众议院涉华事务委员会,以及外交、情报和军事委员会相关工作人员所使用的电子邮件系统46。也就是说,这场行动直接触及了美国对华决策的核心圈层——它窃取的,正是研究美国如何研究中国的那些人手里的信息。这种针对决策者本身的情报窃取,是这条战线上最直接的较量。

电信并不是唯一被触及的领域。据 NBC 通过《信息自由法》取得的国土安全部情报与分析办公室备忘录,“盐台风”在 2024 年 3 月至 12 月间侵入了某州陆军国民警卫队的网络近一年,窃取了管理员凭证、网络拓扑图、地理地图和军人个人信息,并获取了每个州及至少四个属地的网络配置;备忘录评估这可能影响全部 50 个州——因为多数州的警卫队网络与州情报融合中心是整合在一起的7。这意味着这条战线触及的不只是商业电信,还包括军队的地方神经末梢。

值得补一笔的是它选择的攻击面。按 CISA 的描述,“盐台风”主要瞄准大型骨干路由器,以及运营商边缘和客户边缘路由器——它不去攻打防御森严的终端,而是占据网络的“主干道交叉口”,从那里观察、转发、横向移动2。这些边缘设备往往缺乏日志、难以监控,攻击者还会修改路由器固件和配置以躲避检测、长期驻留,这也是 CISA 在 2025 年专门为通信基础设施发布加固指南、并把思科网络设备单列为重点防护对象的原因8。一个特别讽刺的细节是:美国 1994 年的《通信协助执法法》(CALEA)强制电信公司在网络里内建合法监听能力,以便执法机关在获得授权后调取通信;而“盐台风”恰恰利用了这套为“好人”准备的监听后门,反过来访问了执法监听系统和监听目标清单9。它印证了密码学界一句老话:没有只让好人进、把坏人挡在外面的后门。这个教训对中美都成立——任何一方在自己网络里留下的便利通道,都可能成为对方的入口。

针对“盐台风”,美方不止于通报。2025 年 1 月 17 日,财政部海外资产控制办公室(OFAC)对四川聚信和实施制裁,认定它直接参与了“盐台风”行动,并与多家为中国国安部门提供网络利用能力的承包商关系紧密;国务院同步发表声明,把这次制裁与财政部遭入侵、电信遭入侵串在一起1011。这是美方第一次对“盐台风”作出正式的、点到具体实体的归因与惩罚——它把一个原本只存在于技术报告里的代号,钉在了一家有名有姓的公司身上。

如果说“盐台风”是为了窃取情报,那么另一个组织——“伏特台风”(Volt Typhoon)——按美方的判断,目标更令人不安。

它最早不是由政府、而是由微软在 2023 年 5 月 24 日的一份报告里公开披露的。微软评估认为,这个组织自 2021 年年中开始活跃,瞄准美国本土以及关岛的关键基础设施,涵盖通信、制造、公用事业、交通、建筑、海事、政府、信息技术和教育等多个行业;它几乎完全依赖“就地取材”和手工键盘操作,意在长期、隐蔽地存在12。关岛这个细节并不偶然——它是美军在西太平洋投射力量、应对台海冲突的关键节点,正卡在第七章所讲的那架“台海钟摆”的支点上。

2024 年 2 月 7 日,CISA、NSA 和 FBI 发布联合公告(编号 AA24-038A),把微软的厂商研判抬升为政府的正式归因:评估认为中国国家支持的网络行为者正在寻求“预置”——也就是预先潜伏在美国关键基础设施的 IT 网络里,包括电力、供水、通信和交通领域13

它和“盐台风”的关键区别在意图。美方的判断是:这种预置的目的,不是窃取情报,而是在重大危机或与美国发生冲突时,对关键基础设施实施破坏性或瘫痪性的攻击13。换句话说,“盐台风”是来偷东西的,“伏特台风”是来埋开关的。

这个判断必须谨慎转述:它是 CISA 等美国机构的归因,代表的是美方情报评估,而非已被中方承认或独立法庭确证的事实。但即便作为评估,它的含义也足够严重——它意味着,中国被认为在和平时期就在美国的电网、水网里埋下了“开关”,留待危机时刻使用。这把网络从情报领域,推向了准军事的领域。

两个技术细节让这个判断更具分量。其一,“伏特台风”大量使用所谓“就地取材”(living off the land)的手法——不植入显眼的恶意软件,而是利用系统自带的 PowerShell、WMI 等合法工具,再配合零日漏洞和窃取来的有效凭证,让入侵看起来像正常的系统活动,从而长期躲过检测14。其二,美方机构称在部分受害环境里,观察到“伏特台风”维持立足点至少五年13。五年,意味着这不是一次抓了就走的攻击,而是一种近乎“驻扎”的存在。

2024 年 1 月,美国司法部和 FBI 获得法院授权,对“伏特台风”使用的一个僵尸网络(KV-botnet)发起行动——它由全球大量被攻陷的家用和小型办公室路由器组成,多为思科和 NetGear 的老旧型号。FBI 在南得克萨斯州法院申请了搜查令,先渗透进这套系统、采集数据,再远程清除恶意软件、切断其与僵尸网络的连接;采样时该集群已缩减到约 650 台设备1415。这是美国少有的、对这条战线采取主动反制的公开案例。但反制之后,“伏特台风”很快尝试重建——曼迪昂特(隶属谷歌云)的情报主管哈尔奎斯特评述,僵尸网络被清剿后行为者迅速重建并继续运作,这种韧性本身就说明它是冲着长期潜伏、待命而来16。这条战线的特点也由此显现:它很难被一次性清除。

网络只是这条战线的一半。把它和另一半——人的渗透——连起来看,会发现两者共用一套基础设施:中国情报系统的承包商生态。这套生态在 2024 年初被一次意外的泄露撕开了一道口子。

2024 年 2 月,一家名为“安洵信息”(i-Soon,上海安洵)的中国公司,约 570 份内部文件被人匿名上传到 GitHub。安全研究者把它称为对中国政府黑客行动“前所未有”的一次窥视——它第一次以内部合同、聊天记录、产品清单的形式,展示了情报需求如何驱动一个由独立承包商组成的“黑客雇佣市场”17。文件显示,安洵为公安部、国家安全部和解放军承接业务,目标遍及至少二十个国家和地区,包括印度、马来西亚、韩国、台湾、泰国、香港和英国,相关合同可追溯到八年前18

一年后,这次泄露落进了司法文书。2025 年 3 月 5 日,美国司法部起诉了十二名中国人,其中包括两名公安部官员、八名安洵员工,以及两名“APT27”组织成员(殷可成、周帅,后者绰号“Coldface”)19。起诉书最具揭示性的,是它写出了这门生意的价格表:安洵向国安部、公安部按“件”收费,每攻陷一个电子邮箱,收取约一万到七点五万美元,还靠为公安部培训人员赚钱;2016 到 2023 年间,这套生意带来了“数千万美元”的收入19

这种“前台是企业、后台是情报”、“按件计价、利润驱动”的结构,正是 2025 年那份“盐台风”公告点名三家中国公司、以及更早 2020 年那起 APT41 案件所指向的同一种模式——2020 年 9 月,美国司法部起诉了包括 APT41 成员在内的七名被告,指控他们针对全球 100 多个受害者实施入侵,其中成都某网络科技公司对外宣称提供防御性网络安全服务,实则为进攻性行动打掩护20。三起案件、跨越五年,指向的是同一套运作逻辑:国家提需求,承包商接单,企业外壳提供“可推诿的距离”。这种结构对中国有它的好处——它让官方可以与具体的攻击行为保持一臂之遥;但它也有代价——一旦某个承包商被泄露或被起诉,整张网就会暴露得格外彻底,安洵泄露就是一例。

理解了这套承包商生态,再回头看美方一侧的核心对手,就更清楚了。在中方一侧,国家安全部(MSS)是这套体系的枢纽。这个 1983 年设立的机构,在 2015 年前后经历了一轮重要的集权化改革,把分散在各省的地方机构更紧密地收归中央垂直管理——有分析者称之为中国民用情报系统几十年来“最重要的发展”21。近年来,MSS 一改低调,公开化运作明显增强,开设社交账号、发布反间谍宣传,在反间谍和对外情报两端同时发力22。承包商负责“做活”,MSS 负责“提需求、给钱、收货”——这正是金字塔体制在情报领域的典型样貌:意图自上而下,执行外包出去。

承包商生态的另一个出口,是直接打进美国对华决策的钱袋子和制裁机器。

2024 年 12 月 8 日,美国财政部披露遭到入侵。攻击者利用第三方远程支持服务商 BeyondTrust 一把被盗的 API 密钥,进入了财政部的工作站;按美方后续归因,行动者是与“APT27”重叠的“丝绸台风”(Silk Typhoon)23。被瞄准的,恰恰是财政部里最敏感的两个部门——负责制裁执行的海外资产控制办公室(OFAC)和金融研究办公室;攻击者访问了逾四百台设备、三千多份非密文件23

这次入侵的意味,值得停下来想一想。OFAC 是美国对华经济施压的核心工具之一——本书第十一章会讲到,金融制裁是这场竞争里最锋利的武器之一。一个被广泛接受的解读是:攻击者想知道的,是美国接下来打算制裁哪些中国实体——也就是说,它在情报上“反向侦察”美国的施压意图。如果说“盐台风”窃取的是研究中国的人手里的信息,那么这次财政部入侵窃取的,是要制裁中国的人手里的信息。两者合起来,勾勒出这条战线一个共同的指向:它最想要的,往往不是普通公民的隐私,而是对手决策链条上游的那一小撮人正在想什么、准备做什么。

到 2025 年 3 月,这次入侵也被并进了那份十二人起诉书——被控的 APT27 成员之一殷可成,正是被指对财政部下手的人,财政部的 OFAC 还为此对他实施了制裁19。一个专门执行制裁的机构,先被对方黑了,再用制裁去回敬黑它的人——这种循环,恰好是这条战线“指控—反制—再指控”对称结构的一个缩影。

面对这两类行动,必须把另一方的声音并置进来——否则这一章就只是单方面的指控清单。

对几乎所有这些归因,中国政府都予以否认。针对“盐台风”,2025 年 9 月 1 日,中国外交部发言人表示,中方坚决反对美国及其盟友以网络安全为名“抹黑”中国,称相关指控是“无端臆测”和“污蔑”,是出于政治目的的操弄24。针对“伏特台风”,中方的反驳更系统:2024 年 4 月起,中国国家计算机病毒应急处理中心(CVERC)发布报告,称“伏特台风”实际上是国际勒索软件团伙,并指美国情报界与网络安全公司为了争取预算和合同而合谋散布“虚假叙事”,把责任嫁祸中国25。同年 10 月,CVERC 又发布一份约六十页的报告,称美方一款名为“Marble”的情报工具,会在恶意代码里插入中文、俄文等字符串,刻意误导归因——也就是所谓“假旗”操作26。中方还援引斯诺登披露的“棱镜”项目,反指美国才是真正的“黑客帝国”24

这种“指控—否认”的对称,正是这条战线最难处理的地方。一方拿出技术报告和起诉书,另一方拿出反报告和反叙事,而双方都无法把对方的指控放到一个中立的法庭上对质。读者能做的,不是替双方下裁决,而是看清两套话语各自的来源和动机。需要承认,中方反驳里有一部分并非全无依据——斯诺登披露过的美方全球监控行动是真实存在的历史,美国情报机构在网络空间同样是高度活跃的玩家。把这一点放进来,并不是为某一方开脱,而是提醒读者:在这条战线上,“受害者”和“行动者”的角色,从来不是单向分配的。

不过,有一个细节让天平略有倾斜。据《华尔街日报》2024 年底的报道,在 2024 年 12 月一场由美方网络事务大使主持的中美秘密会谈中,中国一名外交部网络事务高级官员,以“间接而模糊”的措辞,被美方理解为含蓄承认了“伏特台风”的行动,并把它与台湾问题挂钩——即意在警告美国,不要在台海冲突中介入太深27。必须强调:这是美方对一段闭门发言的解读,措辞本身“间接而模糊”,中方公开立场始终是否认。但如果这个解读成立,它把网络预置从一个纯技术问题,变成了一种战略信号——一种不开火的威慑语言。这与第七章台海、第八章核态势的逻辑是一致的:在最危险的场域,沉默的能力本身就是一种喊话。

防御方的处境,并不乐观。

2025 年 12 月,参议院商务委员会给出了一个直白的结论:美国的网络仍然脆弱,包括威瑞森、AT&T、T-Mobile 在内的电信公司,仍然没有令人信服地证明它们已经把“盐台风”的入侵者驱逐出去28。委员会的听证还揭示了一些让人难堪的细节:许多遗留网络设备多年未更新,有的路由器漏洞七年前就有补丁却始终未打,弱密码大量存在28。换句话说,攻击早在 2024 年就被曝光,但到了一年多以后,连“对手是否还在网络里”这个最基本的问题,都没有确切答案。

到了 2026 年初,这种僵持还在继续。参议院商务委员会民主党领袖坎特韦尔公开要求 AT&T、威瑞森的首席执行官就“盐台风”出庭作证,原因之一是这些公司拒绝向委员会交出由曼迪昂特做出的网络安全评估报告——她认为入侵远未被完全清除,而企业却在用“商业机密”挡住国会的问询29。这里浮现出这条战线一个常被忽视的角色:私营企业。电信网络的实际控制权在企业手里,而企业既要应对监管、又要保护商誉、还要顾及合规成本,它在攻防中的迟疑和遮掩,本身就构成防御链条上的一个薄弱环节。

更复杂的是,连“是否还有更多受害者不知情”都没有答案。据报道,电信公司并未通知大多数被波及的用户13。这条战线上,受害者甚至常常是最后一个知道自己受害的人。

国家情报总监办公室(ODNI)2025 年的年度威胁评估,把中国列为对美国政府、私营部门和关键基础设施网络“最活跃、最持久”的网络威胁,并明确指出中国在“预置非对称攻击选项”,以便在冲突中部署30。2026 年的评估延续了这一判断,继续把“伏特台风”“盐台风”列为在 IT 网络中定位、并可能横向移动到控制关键基础设施的操作技术系统、择时干扰关键功能的威胁31

这条战线的特点由此显现:它不是一场有明确开始和结束的战斗,而是一种持续的、难以彻底清除的渗透状态。防御方很难宣布“胜利”,因为它甚至难以确认对手已经离开。到 2025 年,FBI 网络司助理局长莱瑟曼对外表示,“盐台风”在美国电信网络内已“基本被遏制”——但“基本”这个词,恰恰说明了这条战线难有干净的句号32

防御的难,还在于美国自己内部的不一致——这正是本书第三章讲的“三角拉锯”,在网络战线上的微观重演。

“盐台风”曝光后,拜登政府时期的 FCC 在 2025 年 1 月,也就是政府换届前五天,匆忙通过一项裁定,重新解读 1994 年的 CALEA,认定该法“确实要求电信运营商保护其网络免遭非法接入或拦截”,并提出配套的网络安全标准9。但新一届 FCC 在 2025 年 11 月推翻了这项裁定,认为前任对法条的解读“过宽”33。参议院商务委员会民主党人坎特韦尔为此公开抨击,称这是在“盐台风”教训之后回滚刚建立起来的网络保护规则33

行政部门、独立监管机构、国会两党——同一件事,在不同节点被推向相反的方向。这就是三角拉锯:它让美国在防御上很难形成一个稳定、连贯、说一不二的政策,而对手面对的恰恰是这种内部摩擦留下的缝隙。中国是“金字塔”,对网络攻防的部署可以自上而下、一以贯之;美国是“三角”,每一项防御措施都要穿过行政、立法、监管和企业的多重博弈。这种不对称,不只是决策风格的差异,在网络这种讲究持续性和一致性的领域,它直接转化为防御能力上的结构性短板。

把第一章引用的那个“50 比 1”放回这里,就更清楚了:美方面对的不只是人数上的劣势,还有自身体制带来的协调成本。中国可以把承包商、国安部、监管和企业拧成一根绳;美国却要让 FBI、CISA、FCC、司法部、私营电信公司各自行动、彼此协商,每一个环节都可能成为掉链子的地方。金字塔靠指令解决一致性,三角靠博弈维持平衡——在需要持续盯防的网络战线上,前者的效率优势是实打实的。

网络是这条战线的一端,另一端是更传统的人——情报、间谍与学术渗透。这把我们带到一个充满争议的话题:美国的“中国行动计划”。

“中国行动计划”(China Initiative),是美方对前述那套人的渗透网络的回应。它是司法部在特朗普第一任期、由时任司法部长塞申斯于 2018 年 11 月发起的,目标是起诉与中国有关联的科研人员和学者,防止工业间谍和技术外泄34。它的一个重点,是针对那些与中国有未披露关联的学术研究人员——比如参与了中国“千人计划”、却没有在联邦科研经费申请中如实披露的人,并以欺诈的理论提起指控。麻省理工科技评论建立的数据库显示,在它整理出的 77 起案件中,约 19 起涉及经济间谍法指控,而被告中华裔占比高达约 88%35

这个计划试图回应一个真实的关切——技术和知识通过人才流动外泄,安洵泄露和那几起承包商起诉案都说明,这种渗透并非凭空想象19。但它的执行方式,引发了严重的副作用,主要是寒蝉效应,以及一连串站不住的案子。

数据库追踪显示,多起备受瞩目的案件最终崩塌。田纳西大学诺克斯维尔分校教授胡安明的案子,是第一起进入陪审团审理的研究诚信案,先以悬而未决的误审收场,最终全部无罪;麻省理工学院教授陈刚的案子,则在开庭前被撤销,成为第八起在审前就被撤的研究诚信案35。一项试图惩治渗透的计划,却接连在法庭上败下阵来,这本身就说明了它在事实基础上的脆弱。

2022 年 2 月 23 日,司法部宣布终止“中国行动计划”。国安司助理司长奥尔森在三个月复审后给出的理由是:这个计划制造了一种“对华裔科学家和学者的寒蝉氛围”,并不公平地把华裔美国人和华裔居民描绘成不忠诚的群体36。批评者指出,出于对被起诉的恐惧,许多亚裔学者不敢申请联邦经费、不敢正常开展研究——一项面向千余名学者的调查显示,约三分之二的华裔科学家感到不安全,相当比例的人考虑离开美国37。取而代之的,是一个范围更广、不再以单一国别命名的“应对民族国家威胁战略”36

这里暴露了这条战线特有的两难。一方面,技术外泄和学术渗透是真实的安全关切,一个负责任的政府不可能视而不见——MSS 的承包商网络和掩护公司模式是有据可查的20。另一方面,把整个族裔群体置于怀疑之下,不仅伤害无辜,还可能适得其反——它会把本该是美国科研资产的华裔人才推开,削弱美国自己的创新能力。如何在防范渗透和避免种族定性之间划线,是一个没有标准答案的难题。

这个难题,在 2025 到 2026 年又重新摆上了台面。

“中国行动计划”虽然 2022 年被终止,但它的逻辑并未消失。一项嵌入 2026 财年商业、司法、科学相关拨款法案报告语言的提案,试图以“对抗中国、维持美国竞争优势”为由重启它38。与此同时,司法部被报道在用一些新的法律工具——尤其是《虚假申报法》(False Claims Act)——通过针对大学来调查学术研究人员,被视为“中国行动计划”手法的某种复活39

这个转向值得细看,因为它揭示了三角体制如何“换工具不换目标”。《虚假申报法》原本针对的是骗取联邦资金的行为,举证门槛低于刑事案件,还可寻求三倍赔偿。司法部的新做法,是把矛头从个人研究者转向他们所在的机构——如果大学在经费申请中“知道或应当知道”研究者有未披露的对华关联却未申报,机构本身就可能担责39。2022 至 2024 年间,俄亥俄州立、斯坦福、马里兰等五所院校已就此类指控与司法部达成和解,其中俄亥俄州立 2022 年支付 87.5 万美元,斯坦福 2023 年支付 190 万美元39。刑事起诉这条路走不通之后,民事索赔成了新的施压点。

不过,结局再次展示了三角拉锯。从 2025 年 9 月起,82 个民权与亚裔倡导组织联署反对重启提案;2026 年 1 月,相关语言最终被从众院拨款案中删除,正式重启“中国行动计划”的努力再度落空40。设立、终止、试图复活、再放弃——这条线索的反复,本身就说明美国在这个问题上的深刻矛盾:它既忌惮渗透,又警惕自己的反渗透手段伤及无辜和自身的开放性。

需要补充的是,这条人的战线同样是镜像的。FBI 局长雷曾披露,美方平均每 12 小时就新开一起对华反间谍调查,在办案件逾两千起,经济间谍调查在十年间增长约 1300%41。而在另一端,中国 2023 年修订《反间谍法》,大幅扩展了间谍行为的定义,强化公民和组织的协助义务,扩大国家安全机关的调查权42。一方加大反间谍力度,另一方就以更严的反间谍立法回应——两台机器在“防对方渗透”这件事上,也形成了对称的加码。耐人寻味的是路径的差异:美国的反渗透要穿过起诉、审判、撤案、立法、再撤销的反复,每一步都在公开拉锯;中国的反渗透则通过一部自上而下、一次到位的法律完成扩权。同一个目标,金字塔用立法解决,三角用博弈消耗——这又是一次结构不对称的微观显影。

十一

把网络和人这两端合起来,看不见的战线呈现出几个独特之处。

第一,它最不对称于公开核查。前面几章的事实——关税税率、稀土份额、导弹井数量——多少可以独立验证;而这条战线上的核心判断,大量依赖情报机构的归因,并几乎总是伴随着被指控方的否认24。这要求读者保持一种双重的清醒:既不轻信每一条耸动的指控,也不因为难以核查就否认威胁的存在。安洵泄露这类罕见的“内部文件外流”,之所以格外珍贵,正是因为它绕过了“通报对否认”的死结,提供了一份不依赖任何一方表态的旁证17

第二,它最接近“准战争”状态。“伏特台风”被美方指为预置破坏能力,已经超出了传统情报的范畴,进入了为冲突做准备的领域30;而那场闭门会谈里把网络与台湾挂钩的解读,更让它带上了战略威慑的色彩27。在这个意义上,网络战线和上一章的核态势一样,属于那种平时沉默、危机时刻可能瞬间引爆的底层博弈。

第三,它最考验一个开放社会的自我平衡。美国的难题不在于要不要防范——这一点两党有共识——而在于如何防范而不损害自己的开放性、不伤害自己的人才、不背叛自己的原则。“中国行动计划”的起落,以及 FCC 规则的反复,都是这种自我平衡的艰难写照33。金字塔可以靠指令解决一致性问题,三角却必须在每一个争议点上重新博弈——这是美国体制的代价,某种程度上也是它的保险。

这条看不见的战线,争夺的是信息和准入。下一章,我们转向另一种看不见、却更直接作用于人心的较量——信息、叙事与认知。

参考文献

  1. Director Wray’s Opening Statement to the House Select Committee on the Strategic Competition Between the United States and the Chinese Communist Party(中国黑客项目大于其他所有大国总和、FBI 人员对华以 50:1 处于劣势)— Federal Bureau of Investigation,2024-01-31 — https://www.fbi.gov/news/speeches/director-wrays-opening-statement-to-the-house-select-committee-on-the-chinese-communist-party (访问 2026-06)

  2. Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System (AA25-239A)(Salt Typhoon 自 2021 起、点名四川聚信和等三家公司、骨干/边缘路由器攻击面)— CISA/FBI/NSA 及 13 国联合公告,2025-08-27 — https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a (访问 2026-06)

  3. CISA and Partners Release Joint Advisory on Countering Chinese State-Sponsored Actors(80+ 国、约 600 组织、联合署名规模)— CISA,2025-08-27 — https://www.cisa.gov/news-events/alerts/2025/08/27/cisa-and-partners-release-joint-advisory-countering-chinese-state-sponsored-actors-compromise (访问 2026-06)

  4. AT&T, Verizon, Lumen confirm Salt Typhoon breach(九家电信运营商被入侵)— The Register,2024-12-30 — https://www.theregister.com/2024/12/30/att_verizon_confirm_salt_typhoon_breach/ (访问 2026-06)

  5. What is Salt Typhoon? A security expert explains the Chinese hackers and their attack on US telecommunications networks(3.97 亿用户、通话记录/内容/短信、“史上最严重电信黑客”措辞)— The Conversation(引 FBI、参议员表态),2024 — https://theconversation.com/what-is-salt-typhoon-a-security-expert-explains-the-chinese-hackers-and-their-attack-on-us-telecommunications-networks-244473 (访问 2026-06)

  6. Salt Typhoon Hackers Accessed Email of US Congressional Committee Staff(涉华、外交、情报、军事委员会助理邮件)— Fortune,2026-01-09 — https://fortune.com/2026/01/09/salt-typhoon-hackers-accessed-email-of-us-congressional-committee-staff/ (访问 2026-06)

  7. National Guard was hacked by China’s Salt Typhoon group, DHS says(经 FOIA 取得 DHS I&A 备忘录;陆军国民警卫队网络遭入侵近一年;评估可能影响全 50 州)— NBC News,2025 — https://www.nbcnews.com/tech/security/national-guard-was-hacked-chinas-salt-typhoon-group-dhs-says-rcna218648 (访问 2026-06)

  8. Enhanced Visibility and Hardening Guidance for Communications Infrastructure(针对骨干/PE/CE 路由器加固、思科设备重点防护、修补已知 CVE)— CISA,2025 — https://www.cisa.gov/resources-tools/resources/enhanced-visibility-and-hardening-guidance-communications-infrastructure (访问 2026-06)

  9. The Salt Typhoon Hack Shows There’s No Security Backdoor That’s Only Good for the “Good Guys”(CALEA 1994 合法监听后门被利用、FCC 2025-01 裁定)— Electronic Frontier Foundation,2024-10 — https://www.eff.org/deeplinks/2024/10/salt-typhoon-hack-shows-theres-no-security-backdoor-thats-only-good-guys (访问 2026-06)

  10. Treasury Sanctions Company Associated with Salt Typhoon and Hacker Associated with Treasury Compromise(OFAC 制裁四川聚信和,认定其直接参与 Salt Typhoon)— U.S. Department of the Treasury,2025-01-17 — https://home.treasury.gov/news/press-releases/jy2792 (访问 2026-06)

  11. U.S. Takes Action Against PRC-Linked Cyber Actors for Treasury Hack and Salt Typhoon(国务院配合 OFAC 行动声明)— U.S. Department of State,2025-01 — https://2021-2025.state.gov/office-of-the-spokesperson/releases/2025/01/u-s-takes-action-against-prc-linked-cyber-actors-for-treasury-hack-and-salt-typhoon/ (访问 2026-06)

  12. Volt Typhoon targets US critical infrastructure with living-off-the-land techniques(微软首次披露、活跃自 2021 年中、瞄准关岛及本土九大行业)— Microsoft Security Blog,2023-05-24 — https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/ (访问 2026-06)

  13. PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure (AA24-038A)(预置破坏意图、电力/供水/通信/交通、立足至少五年、多数用户未被通知)— CISA/NSA/FBI,2024-02-07 — https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a (访问 2026-06)

  14. US Gov Disrupts SOHO Router Botnet Used by Chinese APT Volt Typhoon(KV-botnet、LOTL、PowerShell/WMI、约 650 台设备)— SecurityWeek,2024-01 — https://www.securityweek.com/us-gov-disrupts-soho-router-botnet-used-by-chinese-apt-volt-typhoon/ (访问 2026-06)

  15. U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure(法院授权清除行动、思科/NetGear 老旧路由器)— U.S. Department of Justice,2024-01-31 — https://www.justice.gov/archives/opa/pr/us-government-disrupts-botnet-peoples-republic-china-used-conceal-hacking-critical (访问 2026-06)

  16. US Thwarts Volt Typhoon Espionage Campaign(Mandiant 总监 Hultquist 评述清剿后迅速重建、高度持久)— Infosecurity Magazine,2024 — https://www.infosecurity-magazine.com/news/us-thwarts-volt-typhoon-espionage/ (访问 2026-06)

  17. Spyware leak offers ‘first-of-its-kind’ look inside Chinese government hacking efforts(i-Soon/安洵约 570 份文件泄露、承包商雇佣市场)— TechCrunch,2024-02-23 — https://techcrunch.com/2024/02/23/isoon-china-government-hacking-spyware-leak/ (访问 2026-06)

  18. Leaked i-Soon Documents Reveal Chinese Government Hacking Efforts(为 MPS/MSS/PLA 承接、至少 20 国/地区目标、八年合同)— Foreign Policy,2024-02-22 — https://foreignpolicy.com/2024/02/22/china-leaked-documents-hacking-isoon-espionage-intelligence/ (访问 2026-06)

  19. Justice Department Charges 12 Chinese Contract Hackers and Law Enforcement Officers in Global Computer Intrusion Campaigns(12 名被告含 MPS 官员/i-Soon 员工/APT27;每攻陷一邮箱收费 1万–7.5万美元;2016-2023 获利数千万;殷可成涉财政部入侵)— U.S. Department of Justice,2025-03-05 — https://www.justice.gov/opa/pr/justice-department-charges-12-chinese-contract-hackers-and-law-enforcement-officers-global (访问 2026-06)

  20. Seven International Cyber Defendants, Including “APT41” Actors, Charged(成都某网络科技公司宣称防御性安全、实为进攻掩护;100+ 受害者)— U.S. Department of Justice,2020-09 — https://www.justice.gov/archives/opa/pr/seven-international-cyber-defendants-including-apt41-actors-charged-connection-computer (访问 2026-06)

  21. Counter-Espionage and State Security: The Changing Role of China’s Ministry of State Security(2015 前后集权化改革)— China Leadership Monitor — https://www.prcleader.org/post/counter-espionage-and-state-security-the-changing-role-of-china-s-ministry-of-state-security (访问 2026-06)

  22. China sees foreign threats ‘everywhere’ as powerful spy agency takes center stage(MSS 公开化、社交账号、反间谍宣传)— CNN,2024-04-21 — https://www.cnn.com/2024/04/21/china/china-spy-agency-public-profile-intl-hnk (访问 2026-06)

  23. Treasury, China hack via BeyondTrust(2024-12-08 披露;经 BeyondTrust 被盗 API 密钥;瞄准 OFAC 与金融研究办公室;逾 400 台设备、3000+ 非密文件;APT27/Silk Typhoon)— Axios,2024-12-30 — https://www.axios.com/2024/12/30/treasury-china-hack-beyondtrust (访问 2026-06)

  24. 外交部发言人就美纠集盟友炒作“盐台风”网络攻击答记者问(“无端臆测”“污蔑”;援引棱镜反指美为“黑客帝国”)— 中华人民共和国外交部,2025-09-01 — https://www.fmprc.gov.cn/eng/wjb/zzjg_663340/jks_665232/jkxw_665234/202509/t20250901_11699303.html (访问 2026-06)

  25. GT exclusive: Volt Typhoon false narrative a collusion among US politicians, intelligence community and companies(CVERC 称 Volt Typhoon 实为勒索团伙)— Global Times(援引 CVERC 报告),2024-04 — https://www.globaltimes.cn/page/202404/1310584.shtml (访问 2026-06)

  26. China again claims Volt Typhoon was invented by the US(CVERC 60 页报告、“Marble”假旗工具)— The Register,2024-10-15 — https://www.theregister.com/2024/10/15/china_volt_typhoon_false_flag/ (访问 2026-06)

  27. WSJ: China Admitted to Volt Typhoon Cyber Attacks in Secret Meeting(2024-12 闭门会、间接承认、与台湾挂钩)— CPO Magazine 综述 WSJ,2025-04 — https://www.cpomagazine.com/cyber-security/wsj-china-admitted-to-volt-typhoon-cyber-attacks-in-secret-meeting/ (访问 2026-06)

  28. Experts Agree U.S. Communications Networks Remain Vulnerable Following Salt Typhoon Hack(电信未证明已清除入侵者、遗留设备多年未更新、7 年前补丁未打)— U.S. Senate Commerce Committee,2025-12 — https://www.commerce.senate.gov/2025/12/experts-agree-u-s-communications-networks-remain-vulnerable-following-salt-typhoon-hack (访问 2026-06)

  29. Cantwell Demands AT&T, Verizon CEOs Come Clean on Salt Typhoon Hacks, Ongoing Network Security Risks(要求电信 CEO 作证、公司拒交 Mandiant 评估)— U.S. Senate Commerce Committee,2026-02 — https://www.commerce.senate.gov/2026/2/cantwell-demands-at-t-verizon-ceos-come-clean-on-salt-typhoon-hacks-ongoing-network-security-risks (访问 2026-06)

  30. 2025 Annual Threat Assessment of the U.S. Intelligence Community(非密版 PDF;中国“最活跃、最持久”网络威胁、预置非对称攻击选项)— Office of the Director of National Intelligence,2025-03 — https://www.dni.gov/files/ODNI/documents/assessments/ATA-2025-Unclassified-Report.pdf (访问 2026-06)

  31. DNI Gabbard Releases 2026 Annual Threat Assessment of the U.S. Intelligence Community(新闻稿 pr-03-26;延续对 Volt/Salt Typhoon 判断)— ODNI,2026-03 — https://www.dni.gov/index.php/newsroom/press-releases/press-releases-2026/4142-pr-03-26 (访问 2026-06)

  32. The FBI’s Brett Leatherman gives the latest ‘Typhoon’ forecast(“盐台风”“基本被遏制”)— The Record,2025 — https://therecord.media/fbi-interview-china-hacking-volt-salt-flax-typhoon (访问 2026-06)

  33. Cantwell Slams Efforts by Brendan Carr’s FCC to Roll Back Network Protection Rules Put in Place After Salt Typhoon Hacks(FCC 2025-11 推翻 CALEA 裁定、坎特韦尔抨击)— U.S. Senate Commerce Committee,2025-11 — https://www.commerce.senate.gov/2025/11/cantwell-slams-efforts-by-brendan-carr-s-fcc-to-roll-back-network-protection-rules-put-in-place-after-salt-typhoon-hacks (访问 2026-06)

  34. US DOJ formally ends the China Initiative(2018-11 Sessions 发起、起诉对华关联科研人员目标)— Norton Rose Fulbright — https://www.nortonrosefulbright.com/en-us/knowledge/publications/0712bf2d/us-doj-formally-ends-the-china-initiative (访问 2026-06)

  35. The China Initiative… is a mess. We have the data to show it.(77 案数据库、约 19 案涉经济间谍法、被告华裔约 88%、胡安明/陈刚案崩塌)— MIT Technology Review,2021-12-02 — https://www.technologyreview.com/2021/12/02/1040656/china-initative-us-justice-department/ (访问 2026-06)

  36. Justice Department China Initiative ends(Olsen 2022-02-23 复审;“对华裔科学家学者的寒蝉氛围”;改为“应对民族国家威胁战略”)— NPR,2022-02-23 — https://www.npr.org/2022/02/23/1082593735/justice-department-china-initiative (访问 2026-06)

  37. The US crackdown on Chinese economic espionage is a mess(终止后调查:约三分之二华裔科学家感到不安全、相当比例考虑离美)— MIT Technology Review,2022-02-23 — https://www.technologyreview.com/2022/02/23/1046460/us-government-china-initiative-over/ (访问 2026-06)

  38. FY2026 CJS Appropriations 概览(含重建 DOJ China Initiative 报告语言,R48643)— Congressional Research Service — https://www.congress.gov/crs-product/R48643 (访问 2026-06)

  39. DOJ Revives China Initiative Tactics: Investigating Academic Researchers Under the False Claims Act(FCA 转向机构追责;Ohio State 2022 付 87.5 万、Stanford 2023 付 190 万等五校和解)— WilmerHale Client Alert,2025-11-13 — https://www.wilmerhale.com/en/insights/client-alerts/20251113-doj-revives-china-initiative-tactics-investigating-academic-researchers-by-targeting-universities-under-the-false-claims-act (访问 2026-06)

  40. Coalition of Over 80 Asian American Advocacy Organizations Secure Removal of China Initiative Language from House CJS Appropriations Bill(82 组织联署、2026-01 删除报告语言)— Stop AAPI Hate,2026-01-09 — https://stopaapihate.org/2026/01/09/coalition-of-over-80-asian-american-advocacy-organizations-secure-removal-of-china-initiative-language-from-house-cjs-appropriations-bill/ (访问 2026-06)

  41. Countering Threats Posed by the Chinese Government Inside the U.S.(Wray 演讲:每 12 小时新开一起对华调查、经济间谍调查十年增约 1300%)— FBI,2022-01-31 — https://www.fbi.gov/news/speeches-and-testimony/countering-threats-posed-by-the-chinese-government-inside-the-us-wray-013122 (访问 2026-06)

  42. China’s Counterespionage Law Revised(2023-04-26 通过、2023-07-01 生效,扩大间谍定义与 MSS 调查权)— Library of Congress, Global Legal Monitor,2023-09 — https://www.loc.gov/item/global-legal-monitor/2023-09-21/china-counterespionage-law-revised/ (访问 2026-06)