近日，微软悄然调整了其“主动防护计划”（MAPP, Microsoft Active Protections Program）的规则，限制中国科技企业（主要为安全厂商）获取微软漏洞提前预警的权限。这一变化，表面上是一次技术性的调整，背后却折射出全球网络安全格局中不断升温的信任危机与战略博弈。

不再提前给中国安全厂商PoC

MAPP原本是微软在全球范围内设立的合作项目，其初衷是将尚未公开的漏洞细节，包括补丁预告和概念验证代码（PoC），提前分享给安全厂商，让它们能在补丁推送之前加固防御。但微软近日宣布，将对部分国家的成员采取更严格的限制，尤其是那些“法律要求企业或研究人员必须在48小时内向本国政府报告漏洞”的国家，中国赫然在列。

今后，中国的MAPP成员企业只能在补丁发布的当天，获得一份“更为笼统的书面描述”，而无法再提前获取带有攻击性演示的PoC代码。这意味着，原本可以抢先部署防护措施的中国安全厂商，将失去在全球网络攻防赛跑中的“先发优势”。

SharePoint事件：导火索还是借口？

微软的这一决定，并非空穴来风。去年以来，一场大规模的网络攻击震动全球——攻击者利用微软SharePoint服务器漏洞，入侵了包括美国国家核安全局在内的400多家机构。微软将矛头指向“来自中国的国家级黑客”，并在内部展开调查，怀疑MAPP成员存在情报泄露。

事实上，这并非首次传出类似质疑。早在2012年，微软就曾指责杭州迪普科技违反保密协议，导致Windows漏洞被曝光。2021年，微软再次怀疑至少两家中国MAPP合作方泄露了Exchange漏洞细节，随后该漏洞被黑客组织“海莲花”（Hafnium）利用，掀起了一场全球性邮件服务器入侵风暴。如今，SharePoint漏洞或许成为微软收紧权限的最后一根稻草。

漏洞武器化背后的政治逻辑

微软的担忧背后，有着更复杂的地缘与法律背景。2021年，中国实施《网络安全漏洞管理规定》，要求安全研究人员或企业在48小时内将发现的漏洞上报至工信部。美国专家认为，这意味着中国的MAPP合作伙伴必须在收到微软漏洞预警后，第一时间“上交”给政府，“潜在地为国家级网络行动提供弹药”。

SentinelOne咨询顾问达科他·卡里直言，这一政策让微软几乎不可能对中国成员保持完全信任。而瑞士苏黎世联邦理工学院网络安全研究员贝宁卡萨则指出，MAPP的泄密疑云早已存在多年，只是“在当下中美网络安全对抗进入前所未有的紧张状态下，微软不得不采取动作”。

面对微软的指控与限制，中国驻美使馆回应称“不掌握具体情况”，但强调网络安全是“全人类共同的挑战”，应通过合作与对话解决，而不是相互抹黑。中方也多次表示，中国依法打击黑客活动，反对借网络安全问题对中国进行攻击。

然而，这样的回应并未打消美方“疑虑”。尤其是在美国智库“科技诚信项目”近期发布报告后，争议再度升温。该报告称，部分中国MAPP成员与国家级网络安全中心共处于武汉的同一园区，涉及“攻防一体化”研究。虽然微软否认与武汉中心有任何合作，但地缘政治的阴影，已让这一技术合作计划失去了原本的透明与中立。

值得注意的是，微软此次还首次承认，其在中国设立的“透明中心”早已关闭。该中心原本允许中国政府检查微软源代码，以确认其中不存在“后门”。自2003年起，微软就是首家向中国政府开放源代码的跨国软件公司。然而，据微软发言人透露，中国的透明中心自2019年起便不再接待访客。换句话说，曾经作为信任象征的机制，已悄然退出历史舞台。

表面上看，微软的调整是一次单纯的安全措施，但从更深层次观察，它无疑是全球网络安全地缘政治版图中的一枚棋子。

对美国而言，关键技术漏洞等同于“网络武器”，任何可能泄露给对手的风险都需被控制。对中国而言，漏洞信息不仅是防御所需，更是本土安全产业成长的“养料”。MAPP原本是科技合作的桥梁，但在国家安全逻辑主导的时代，桥梁极易转化为战场。

这一局面，折射出一个吊诡的悖论：微软的初衷是加速修复漏洞、保护全球用户，但在地缘政治的博弈中，漏洞信息却成了战略资源，被赋予了远超技术本身的意义。

结语：中美网络安全脱钩后的全球漏洞治理

微软限制中国企业的举动，势必会对全球网络漏洞治理生态产生深远影响。一方面，中国安全厂商将面临“情报迟到”的不利局面；另一方面，这可能迫使中国进一步加强自主漏洞挖掘与防御能力，推动本土安全产业加速发展。

更大的问题是：在日益分裂的网络安全格局中，漏洞情报的共享还能否保持国际合作的初衷？还是会被彻底武器化，沦为大国博弈的又一战线？

答案或许还需等待，但可以肯定的是，微软的这一调整，是中美网络安全“脱钩”进程中的里程碑事件。

参考链接：

https://www.bloomberg.com/news/articles/2025-08-20/microsoft-curbs-early-access-for-chinese-firms-to-cyber-flaws

重拳打击电诈，美国将1200家语音服务提供商踢出电话网络

在美国，电信诈骗与机器人骚扰电话（robocall）早已被视为“全民公敌”。联邦贸易委员会（FTC）的数据显示，仅在2024财年，关于不受欢迎电话的投诉超过200万起，其中110万起与robocall直接相关。这些电话不只是烦人，它们往往是诈骗链条的开端：假冒银行、医保、政府机构，套取用户隐私信息，甚至直接引导受害者转账。

美国消费者对这些骚扰电话的愤怒，早已积累成了政策压力。而最新一次执法行动，堪称史上最大规模的电信整治。

FCC“斩断”1200家服务商：史上最大规模清退

美国联邦通信委员会（FCC）8月宣布，已将1200多家语音服务提供商踢出美国电话网络，原因是未能遵守反robocall规定。这相当于一刀切掉了此前收到警告的2411家公司中的一半。

此次大清退，核心机制是Robocall Mitigation Database（反骚扰电话缓解数据库）。根据FCC规定，所有语音服务商必须在该系统中准确提交其来电认证（caller authentication）方案，否则将被拒绝接入网络。被踢出的公司，未来只能通过FCC执法部门批准才能重新入网。

FCC主席布伦丹·卡尔（Brendan Carr）直言不讳：

“这些电话不仅仅是烦扰，更是威胁。任何不履行阻止骚扰电话义务的服务商，都不应存在于我们的网络里。”

技术防线：STIR/SHAKEN协议

本次执法的核心技术关键词，是STIR/SHAKEN。这一认证框架要求运营商在电话接入网络前，必须验证来电身份。它类似于互联网的“HTTPS证书”，通过链路认证减少号码伪造。

自2020年起，美国已在VoIP网络（基于IP的语音服务）上投资超过2.5亿美元推进该协议。但问题在于：STIR/SHAKEN只能覆盖现代网络，而传统电话基础设施依旧“裸奔”。这也意味着，robocall问题并未从根源上解决，而是形成了“新旧并存”的防御断层。

除了FCC的“硬执法”，各州检察长也展开了代号 “Robocall Roundup” 的全国性行动。37家语音服务提供商收到了强制合规通知信，部分企业已面临巨额罚单。

典型案例是德州的Lingo Telecom：该公司因认证AI生成的虚假拜登语音消息（在新罕布什尔州初选前夕拨打选民电话），被处以100万美元罚款。此案也促使FCC在2025年初进一步收紧了STIR/SHAKEN的报告要求。

美国的“电诈防御战”难点

尽管此番行动声势浩大，美国政府的“电诈防御战”依然面临几大挑战：

• 跨境源头复杂。大量非法呼叫来自海外，FCC与FTC在司法上缺乏跨境执法能力。即便查明源头，也往往鞭长莫及。

• 技术对抗升级。电诈团队已开始利用生成式AI合成语音，提高诈骗可信度，甚至绕过传统防护。

• 网络分层漏洞。旧式电话网络与现代IP网络并存，使得STIR/SHAKEN无法实现全覆盖。

• 商业利益博弈。小型语音服务商往往依赖灰色业务生存，彻底切断既得利益集团并不容易。

对比来看，中国近年同样在大规模推进反电诈治理：工信部要求运营商强化来电显示溯源，公安部跨境追踪“杀猪盘”，APP实名制和拦截黑名单等措施逐渐落地。相比美国的“后知后觉”，中国的“事前治理”模式在一定程度上更具威慑力。

然而，无论中美，技术与监管都存在时滞。AI语音合成、跨境电诈、虚拟号码转接，正在让这场“电话保卫战”变得更加复杂。

结语：治理电诈的全球化新阶段

美国FCC此次“斩断”1200家服务商，表面上是监管铁拳，但实质上暴露了一个现实：反电诈已进入全球化、AI化的新阶段。

对于监管机构而言，问题早已不是“是否有法律工具”，而是如何在跨境执法、技术升级与产业利益之间找到平衡。可以预见，未来的“电诈攻防战”，不再是单一国家的博弈，而将成为一场跨国、跨行业、跨技术的长期拉锯。

文章来源：GoUpSec