美軍雲端靠中國工程師遠端維護？微軟「數位護衛」遭美國防部盯上

微軟 (Microsoft) 於 7/15 被爆出，近十年來透過中國工程師遠端維護美國國防部電腦系統，卻僅由技術能力有限的「數位護衛」(Digital Escorts) 代為執行指令，讓中國駭客可趁虛而入。消息爆出後，美國國防部長 Pete Hegseth 表示已對此展開為期 2 週的調查行動。

近十年才曝光的「數位護衛」制度，連國防部都不知道

這套制度起源於十年前，微軟為了拿下美國政府雲端合約，提出一個「折衷方案」，讓中國等海外工程師負責維護技術，再由持有美國國防部安全許可的美籍人員來代為輸入指令，被稱為「數位護衛」(Digital Escorts)。

而微軟委託外包商 Insight Global 和 ASM Research 招募護衛，大多是退伍軍人或僅具安全許可，時薪從 18 美元起跳，本身技術能力有限，無法辨別是否為惡意程式。一名現任護衛透露：

「我們每個月要處理好幾百件中國工程師的需求，還得防止資料「外洩」，但技術訓練根本無法補足落差，就算可疑指令會被發現，那也是事後實際上根本看不出來，只能相信這些工程師沒做壞事。」

而這套制度已經運作多年，且相當低調，連美國國防部資訊系統局 (DISA) 都表示「沒有人知道這回事」。

中國駭客威脅持續不斷，專家表示這比抖音更危險

美國國家情報總監辦公室 (ODNI) 一直把中國視為最活躍的駭客威脅來源。2023 年時，中國駭客甚至入侵美國政府高層的雲端信箱，竊取 6 萬封國務院郵件。

前中情局 CIA 和國安局高層 Harry Coker 看到護衛制度後直言：

「如果我是中國情報員，這根本是絕佳的滲透機會。」

他強調這比抖音 (TikTok) 或中國留學生的間諜疑慮還嚴重得多。前國防部資訊長 John Sherman 聽到這件事也驚訝表示：

「照理說我應該要知道這件事，DISA 和美國網路司令部都該檢討。」

而有專家提醒，中國法律只要認定屬於「合法用途」，政府就能向企業或公民調取資料。換句話說，微軟在中國的員工隨時可能被要求配合情報單位提供資訊，讓護衛制度形同虛設。

護衛怎麼運作？

以下是「數位護衛」的運作流程：

1. 中國工程師提出維修需求：中國的微軟工程師開需求文件，比如防火牆維修、查看系統紀錄等等。

2. 美國數位護衛接單：美國本土護衛會與中國工程師開會討論。

3. 護衛照抄指令：中國工程師把電腦指令給護衛，護衛就直接輸入國防部雲端系統。

4. 護衛無法分辨代碼內容：假如有個腳本名稱叫「fix_servers.sh」，但其實是惡意程式，護衛也沒能力辨別。

一位曾參與制度設計的微軟工程師 Matthew Erickson 坦言，護衛頂多稍微「懂一點技術」，真正的維修工作還是得靠海外工程師，護衛只是確保海外工程師看不到密碼或個資。

為什麼有這種制度？

美國國防部規定，處理敏感資料的人必須是美國公民或綠卡持有者。但微軟團隊遍佈全球，中國、印度、歐洲都有大量工程師，要臨時僱用大量美籍工程師成本太高。

當年微軟的「FedRAMP 說客」Indy Crowley 遊說政府，稱雲端維護風險不比其他政府供應商大。國防部曾要求乾脆直接雇用美國工程師，但 Crowley 拒絕，因為成本會讓政府雲端轉型貴到做不起。最後微軟採取護衛制度作為最省錢又省力的方案，既能滿足國防部規定，又不用花大錢。

(註：聯邦風險與授權管理計畫 FedRAMP 是一個由美國聯邦政府推行的標準化計畫，為政府機關採用的雲端產品和服務提供統一的安全評估、授權和持續監控機制，確保這些雲端服務符合安全規範。)

曾有內部人士警告，卻被高層無視

微軟內部其實有人反對，認為安全風險太高，但當時的雲端平台主管 Tom Keane 力推該制度，因為能快速拓展業務。當初反對的人最後離職，護衛制度就這樣落地。之後陸續有微軟資安主管提醒，護衛制度存有漏洞，海外工程師可以知道美國聯邦雲端細節，而護衛根本抓不出問題，這些警告依舊沒有改變公司決策。

微軟稱已不再用中國工程師支援國防系統

爭議曝光後，微軟自稱沒有讓公司旗下的中國工程師「直接接觸國防系統」，只是提供指令，而護衛有完整的技術訓練且配合監控，並強調還有「Lockbox」內部審核流程，但細節不公開。

微軟總裁 Brad Smith 也在 5 月參議院聽證會提到，公司正在「把中國籍人士從政府機構移除」，但並未說明他們當初是怎麼進入這些系統。而微軟發言人 Frank Shaw 也於 7/19 在推特 (X) 表示：

「不會有任何中國籍工程師為美國國防雲端及相關服務提供技術協助。」

美國國防部長 Pete Hegseth 針對此事也於 7/19 在推特 (X) 表示：

「將開啟為期兩週的調查行動，確保中國工程師全面退出國防部雲端服務，不再允許中國籍人士參與，並將持續監控、反制軍事基礎設施與網路威脅。」

去中心化永續合約交易所 (Perp DEX) GMX 昨日傳出資安事件，其早期版本 GMX V1 遭駭客攻擊，損失金額高達 4,000 萬美元。GMX 開發團隊表示 V2 與主要代幣並未受到波及，然而社群信心恐已受到重創。

GLP 價格演算法遭利用，駭客盜走 4,000 萬美元資產

GMX 官方於昨日宣布，因其 GLP 資產池遭到攻擊，已緊急暫停 GMX V1 上所有交易操作，並全面中止 GLP 代幣在 Arbitrum 和 Avalanche 網路的鑄造與贖回機制。

GLP 是 GMX 的流動性代幣，其背後資產包括比特幣、以太幣與穩定幣。根據鏈上資安公司 SlowMist 分析，此次攻擊源於 GLP 定價邏輯的設計漏洞，駭客透過操控資產管理總額 (AUM) 來竊取資金：

v1 的空頭部位操作會立刻影響 AUM 的計算，從而讓攻擊者得以操縱 GLP 代幣的定價。 攻擊者利用此設計漏洞，在訂單執行期間進行重入攻擊 (Re-Entrancy Attack)，成功建立了大量的空頭部位來操縱 GLP 的平均價格，人為抬高 GLP 價格，並贖回獲利。

GMX 團隊強調，該事件僅影響 V1 版本，V2、整體市場機制及主要代幣 GMX 均並未受到波及。不過，團隊也呼籲所有用戶立即關閉槓桿功能與 GLP 鑄造，避免潛在的風險擴大。目前，團隊提供 10% 賞金作為白帽獎勵，但攻擊者似乎並不買單。

(Perp DEX 的技術創新與市場競爭：淺談鏈上永續合約交易所的機會與挑戰)

Infini 共同創辦人郡主也對此感嘆道：「比起這個一代 Perp DEX 巨頭的殞落，更讓人感傷的是，他被盜了這麼多錢，中文圈仍然沒什麼人關注他。」

英雄不是突然死去，他只是逐漸消失在歷史的洪流和人們的記憶裡。

2025 加密領域駭客事件損失達 25 億美元

GMX 並非個案。Chainalysis 幾天前的報告指出，今年上半年，全球加密產業因資安事件累積損失已達 25 億美元，其中以 Bybit 遭駭 14 億美元事件為大宗，成了年初以來損失最慘重的一起攻擊。

(Bybit 執行長宣戰北韓駭客集團 Lazarus，懸賞 1.4 億美元追討遭竊資金)

另一方面，幾週前，伊朗最大加密貨幣交易所 Nobitex 也遭到親以色列駭客組織 Gonjeshke Darande 入侵，損失超過 8,100 萬美元，凸顯無論是中心化還是去中心化平台，都無法免於駭客拜訪。

從資安漏洞到國安戰線：北韓駭客成全球危機

在攻擊頻傳之際，美國財政部外國資產控制辦公室 (OFAC) 本週也宣布對北韓駭客組織 Andariel 進行新一波制裁，具名成員宋金赫 (Song Kum Hyok) 涉嫌透過社交工程與網路滲透，攻擊多家加密公司與國防企業，試圖滲透內部並竊取核心技術與資產。

(美財政部打擊北韓 IT 打工仔！揭露多起加密詐騙、洗錢與非法資金鏈)

美國當局指出：「這些駭客集團與北韓政權高度掛鉤，目的在於利用數位資產與加密交易網路，進行跨國制裁逃避、間諜滲透與洗錢操作。」

GMX V1 的攻擊事件再次證明，DeFi 協議不僅需要精密的經濟模型，更需要強韌的防禦機制與持續的風險測試。隨著全球駭客手法持續推陳出新，甚至與國家政權結合，未來的加密領域將面對更加嚴峻的資安挑戰。