最危险的 30 行代码，引爆了 27 吨重的发电机？

2007年3月，一个寒冷多风的早晨，一场“惊天动地”的实验正在进行。

美国国土国安部的一位员工迈克·阿桑特（Mike Assante）到达了位于爱达荷瀑布以西 32 英里处的爱达荷国家实验室。这个实验室里聚集了包括美国国土安全部、能源部和北美电力可靠性公司的官员。

在他们的前面，是一整面墙的视频监视器和数据分析仪。监视器里有一台重达 27 吨重的发电机。阿桑特运行了一个只有 30 行代码的指令，便将其引爆了。

这项实验也被称为「Aurora发电机测试」，实验的成功，也发出了网络攻击对现实世界潜在影响的有力警告。

---

故事的主人公阿桑特，在加入美国国土安全局前曾是美国电力公司的首席安全官，当时他们公司拥有数百万的用户，所以他一直在研究黑客对于电网发起网络攻击的潜在可能。但他在研究之后非常沮丧，因为电力行业的大部分同行对这一威胁都持相对简单的看法，“如果黑客确以某种方式进入到公用事业的内部网络中关闭电源，员工可以简单地将入侵者踢出网络并重新打开电源。”

现在证明，这些人的想法缺乏了基本的安全意识。但阿桑特和他的团队提出了不同的观点：“如果攻击者不仅劫持电网运营商的控制系统造成短期停电，而是重新编程了电网的自动化控制，从而成为可定向操作的工具，那该怎么办？”

正是因为这个想法，他才花费了 30 万美元购买了这一台 27 吨重的二手发电机，进行了这场实验。当然，之所以 30 行代码就能实现引爆，和十多年前发电机自身的简单电路构造是紧密相关的，现代社会的机器都愈发的精密与精细，想要通过网络入侵的难度也变得更高，但并不代表可以掉以轻心。

2016 年乌克兰的电网就遭受到了一起史无前例的攻击，其背后的原理就和「Aurora发电机测试」如出一辙。

---

前不久，世界经济论坛官方网站发布了《未来系列：网络安全、新兴技术和系统风险》报告，重点介绍了新兴技术环境中内在隐患和系统性风险所带来的日益严重的威胁。

报告里面写到，展望技术的发展趋势，呈现的是一幅复杂性、速度、规模和相互依存程度不断提高的图景。新兴技术环境将“压倒”目前部署的许多风险减缓措施。如果现在不进行干预，就很难保持对未来全球增长所依赖的新兴技术的信任度及其完备性。

“安全支离破碎的日子已经过去。如果我们要在创新上超越攻击者，那么安全性必须更加主动，更加经得起未来考验。”

报告指出，技术将为应对全球挑战提供关键的解决方案，但在未来的 5—10 年，互联设备与网络、人工智能、量子计算、身份和访问管理方法这 4 种最具代表性的技术将极大可能改变全球数字格局。对于全世界而言，它们带来的不仅仅是希望，还有可能是全球性的安全隐患。

第一代基于人工智能（AI）的网络攻击工具已经出现，并且越来越多的证据表明攻击者正在使用 AI，深度伪造已被用来制造新的网络攻击载体，语音模拟软件已经被用于大型网络盗窃中。

同时，许多实体对集中支撑基础设施和一套共享服务（包括云、ISP、硬件、软件和设备供应链）的依赖程度越来越高，这将会导致高价值共享资源的攻击面出现，其具有很高的攻击概率，并有可能造成严重的系统性影响。

数字化的发展是现阶段的一个必然进程，但也需要一种包容的方式来解决潜在的安全问题，从而使新兴技术更加造福于社会，造福于我们每一个人。