国防与安全风险微软：来自中国的技术人员监督美国国防部的云

“数字伴游”：Microsoft美国为中国安全法所包围的奇异技巧

###巨大的安全风险？ Microsoft让中国工程师等待五角大楼云###在中国替代之后：Microsoft立即改变了他的政策 – 但损失已经完成###

中国工程师在微软的揭幕仪式照顾了美国国防部高度敏感的云基础设施，引发了近期最大的安全争议之一。最初是一种成本优化的技术支持解决方案，发展为潜在的国家安全风险。

危险做法的揭幕

近十年来，微软为美国国防部提供了基于Azure的云基础架构。这种合作对微软具有巨大的战略和财务重要性，它基于一个系统，该系统现在被归类为在处理高度敏感的政府数据方面非常疏忽大意。

美国组织Prublica的调查研究于2025年7月揭露，许多安全专家称这是不可接受的安全差距：微软也离开了他的国防部基础设施的监督，来自非美国国家，尤其是来自中国。这种做法不仅建立了多年，而且是微软在云计算领域赢得政府订单成功的决定性因素。

适合：

• Prublica：来自中国的国防部Hackern能够暂停鲜为人知的Microsoft计划

“数字伴游”系统

Microsoft开发的系统基于所谓的“数字伴游” – 公民，并具有相应的安全版本，应从远处监视外国技术人员的工作。这些数字同伴在中国微软工程师和五角大楼云系统之间充当了中介，他们在政府系统中输入了外国同事的命令和指示。

该系统的问题在于其根本的结构弱点：数字伴游通常没有技术专业知识来充分监视中国同事的工作。这些同伴中有许多是前军事成员，他们的编程经验较低，他们的收入不超过这项关键工作的最低工资。当前的陪同人员总结了一个问题：“我们相信您的工作不是恶意的，但我们真的看不到它”。

访问高度敏感的数据

中国工程师可以从“影响4和5级” – 中获取信息，该数据被归类为高度敏感，但并未被正式归类为秘密。该类别包括直接支持军事行动的内容，以及其他数据，这些数据根据五角大楼指南“严重或灾难性影响”可能会对国家安全产生妥协。

Impact 5级（IL5）是专门为未分类的国家安全系统（NSS）设计的，该系统支持DOD任务和过程受控的未分类信息（CUI），该信息（CUI）需要比IL4更高的保护。该信息可以包括研究和开发，物流数据和其他任务关键内容，这些内容可能在妥协时造成相当大的损害。

微软的业务模型和合规性旁路

云统治的方式

微软在2010年代设法确立了自己是政府云服务的主要提供商。 2019年，该公司与国防部赢得了100亿美元的云合同，后来在法律纠纷后于2021年取消。 2022年，与亚马逊，Google和Oracle一起，微软获得了价值高达90亿美元的新云合同的份额。

这些成功部分基于微软使用全球资源的能力，同时符合美国政府的严格安全要求。数字护送系统是针对基本问题的创造性但有风险的解决方案：在中国，印度和欧洲拥有广泛运营的全球技术公司如何满足美国政府合同的限制人事要求？

FedRamp和安全法规规避

2011年引入了联邦风险和授权管理计划（FEDRAMP），以根据《联邦信息安全管理法》（FISMA）提供评估，监视和授权的标准化方法。 FedRamp的要求来自云提供商，他们希望与联邦政府合作，以确保对处理高度敏感的联邦政府数据的员工进行背景考试。

国防部制定了其他云指南，规定处理机密数据的员工必须是美国公民或永久居民。对于微软来说，这些要求是一个重大挑战，因为该公司依靠来自印度，中国，欧盟和其他地区的全球劳动力。

微软的高级计划经理Indy Crowley开发了数字护送计划，以避免FedRamp和DOD要求。该系统使中国等国家的外国工程师能够提供适当的支持，而无需直接访问政府系统。

国防信息系统局（DISA）的作用

国防信息系统局（DISA）充当国防部的中央IT支持组织，并负责DOD云计算安全要求指南（SRG）的开发和维护。 DISA定义了国防部用来评估云服务提供商安全状况的基本安全要求。

尽管DISA在监视云安全性方面的核心作用似乎对微软的数字伴游计划知之甚少。 DISA发言人最初表示无法找到任何听说过护送概念的人。该机构后来证实，国防部的“未分类环境”中的护送用于“高级问题诊断和行业专家解决方案”。

缺乏沟通和监督

政府官员被告知数字护送系统的歧义引起了有关微软与负责政府机构之间的监督和沟通的严重问题。尽管微软声称在授权过程中披露了他的做法，但政府官员感到惊讶，不记得相关信息。

DISA的前首席技术官David Mihelcic将国防部网络中的任何可见性描述为“巨大的风险”，并极大地描述了这种情况：“在这里，您有一个您真的不信任的人，因为她可能在中国特勤局中，而另一个人也没有真正的能力”。

直接反应和政治后果

国防部长赫格斯（Hegseth）干预

普鲁布里卡的启示导致了最高水平的立即政治反应。国防部长皮特·海格斯（Pete Hegseth）对报告直接做出了反应，并在X（以前是Twitter）的视频消息中宣布：“当然，包括中国在内的每个国家的外国 – – 应访问DOD系统”。

赫格斯（Hegseth）下令对国防部所有云合同进行两周的审查，以确保没有中国专家参与正在进行的项目。他明确地解释说：“从现在开始，中国将不参加我们的云服务”。

赫格斯在声明中还使奥巴马政府负责，因为她谈判了原始的云协议。他谈到了“廉价中国工人”，他们的使用“显然是不可接受的”，代表了国防部计算机系统中潜在的弱点。

微软对压力做出反应

鉴于政治压力，微软做出了迅速的反应。该公司首席通信官弗兰克·肖（Frank X.

这一宣布仅在国防部长赫格斯（Hegseth）宣布微软使用外国工程师的调查后几个小时就发表了这一消息。反应的速度表明公司对局势的严重性以及对其利润丰厚的政府合同的潜在影响的认识。

参议员检查

参议院情报局主席兼军事部队委员会成员汤姆·科顿（Tom Cotton）周四向国防部长赫格斯（Hegseth）致信，并询问了有关该计划的信息和文件。 Cotton要求列出所有雇用中国员工的DOD工人的清单，以及有关如何培训美国“数字伴游”以识别可疑活动的更多详细信息。

棉花在X-Post中说：“鉴于中国工程师用来维护国防部系统的最年轻，最令人不安的报告，我要求国防部长检查此事。” “我们必须保护自己免受军队供应链中的所有威胁。”

技术弱点和安全风险

技能差距问题

数字护送系统最根本的问题之一是中国工程师与美国警卫之间的技术专长差异。这种“技能差距”造成了危险的局势，在这种情况下，高素质的外国技术人员受到合格的美国公民的监控。

马修·埃里克森（Matthew Erickson）是一名从事该计划的前微软工程师，他清楚地解释了这个问题：“如果某人执行一个名为'fix_servers.sh'的脚本，但实际上它确实做了一些恶性的事情，那么[伴游]不知道”。该声明说明了系统的根本弱点：确定监视潜在有害法规的无能为力。

数字护送的招聘和资格

洛克希德·马丁（Lockheed Martin）部分接管了数字伴游的招聘，候选人主要是因为他们的安全性发布，而不是因为他们的技术技能。通过DOD安全认证的护送职位的招聘广告始于每小时18美元的最低工资。

一支由Insight Global的大约50人组成的护送团队每月与中国的Microsoft工程师进行一次沟通，并在政府系统中承认了数百个命令。一位项目经理警告微软，由于支付较低和缺乏专门的经验，因此SET伴游将对这项任务有正确的目光。

自动安全措施及其限制

Microsoft坚持认为，护送系统包括几个安全级别，包括批准工作流和由“ Lockbox”的内部评论系统进行的自动代码评论。该系统应确保查询被归类为安全或引起人们的关注。

但是，这些安全措施的详细信息仍然模糊，Microsoft拒绝以安全风险为由揭示有关Lockbox系统功能的特定信息。这种非透明性加强了批评者对实施保护措施有效性的关注。

历史上下文和以前的安全事件

微软与中国黑客的故事

在中国网络攻击的情况下，关于中国工程师的争议尤其有问题。该公司由来自中国和俄罗斯的黑客反复针对，这些黑客成功进入了Microsoft Systems。

2023年，中国黑客设法从外国和商务部的电子邮件邮箱中窃取了数千封电子邮件。这些事件强调了真正的威胁，该威胁是基于中国网络运营的，并使微软决定让中国工程师与五角大楼系统合作的决定更加可疑。

当前的全球安全威胁

数字护送丑闻被发现后仅几天，微软再次遭到了重大安全事件的袭击。 2025年7月，广泛的Microsoft产品中的一个重大弱点使几个中国黑客团体妥协了全球数十个组织和至少两个联邦当局。

这次事件的接近性增加了对微软维护适当安全措施针对中国网络威胁的能力的担忧。 Google Mandiant首席技术官Charles Carmakal警告说：“至关重要的是要了解几个演员现在正在积极利用这种脆弱性”。

安全和防御枢纽 – 图像：XPERT.DIGITAL

安全与国防枢纽提供了良好的建议和当前信息，以有效地支持公司和组织在欧洲安全和国防政策中的作用。在与中小企业连接工作组的密切相关的情况下，他特别促进了中小型公司（SME），特别是希望进一步扩大其在国防领域的创新力量和竞争力。作为中心接触点，枢纽在中小型企业和欧洲国防战略之间建立了决定性的桥梁。

适合：

• SME Connect的工作组防御 – 加强欧洲防御中的中小企业

网络安全Matura模型认证（CMMC）和合规性挑战

CMMC响应安全差距

国防部开发了网络安全Matura模型认证（CMMC）计划，以增强国防工业的网络安全性并更好地保护敏感的未分类信息。 CMMC旨在强制保护联邦合同信息（FCI）和受控的未分类信息（CUI）。

CMMC 2.0框架于2021年11月推出，包括三个度的成熟度，每个度都有特定的，越来越严格的要求。级别的重点是针对FCI打交道的承包商的基本网络卫生实践，而第2级和第3级是为处理CUI并需要更高安全措施的组织而设计的。

微软的CMMC合规性和护送问题

数字护送系统的揭幕提出了有关微软遵守CMMC要求的严重问题。 CMMC 2级及更高级别是专门设计用于保护CUI的 – 正是中国工程师可能通过护送系统访问的信息类型。

微软声称，客户可以在各种云环境中演示CMMC的合规性，包括较低级别的商业云和美国Soegechegn Cloud以满足更高的安全要求。但是，中国工程师可以访问IL4和IL5数据的事实表明可能违反了CMMC的基本原理。

影响水平分类及其含义

DOD影响水平的分类是了解数字护送丑闻严重程度的关键要素。影响级别4（IL4）涵盖了受控的未分类信息（CUI），而影响5级（IL5）是为未分类的国家安全系统（NSS）数据而设计的。

IL5信息需要比IL4更高的保护，其中包括关键任务信息和NSS数据。未经授权的IL5信息披露可能会对国家安全产生严重或灾难性的影响。中国工程师可能可以访问这两种类别的事实使安全差距特别令人震惊。

国际观点和地缘政治意义

美国中国网络冲突

数字伴游丑闻是在美国中国人际关系恶化和持续的贸易战的背景下发生的 – 根据专家意见，这种冲突类型可能导致中国网络计算措施。美国政府承认，中国的网络技能是对美国最具侵略性和危险的威胁之一。

哈里·科克（Harry Coker）曾在中央情报局（CIA）和国家安全局（NSA）曾是前高级公务员，他直言不讳地描述了护送结构：“如果我是一名手术人员，我会认为这是非常有价值的。我们必须非常担心”。对情报专家的这一评估从情报的角度强调了安全差距的潜在严重性。

对全球技术供应链的影响

丑闻对整个联邦政府使用的第三方软件提供商的安全性提出了更广泛的问题。 2024年12月，一家私人网络安全提供商中国黑客超越了Trustrust，他遭到妥协，以获取美国财政部，包括外国资产控制办公室和财政部长珍妮特·耶伦（Janet Yellen）的办公室。

这些事件证明了现代政府依赖的复杂技术供应链的脆弱性。他们还说明了在全球化的世界中保持真正安全的国家系统的困难，在全球化世界中，一切都是国际国际和 - 国际的深入国际，正如安全专家布鲁斯·施尼尔（Bruce Schneier）指出的那样。

行业反应和专家意见

安全专家提高警报

各种网络安全专家和前政府官员对启示表示关注。约翰·谢尔曼（John Sherman）是拜登政府首席信息官长期间国防部的约翰·谢尔曼（John Sherman）说，他对普鲁布里卡（Prublica）的见解感到惊讶，并担心：“我可能应该知道这一点”。他说，这种情况证明了“网络司令部和其他利益相关者的彻底审查”。

民主国防的基础将这种情况描述为五角大楼，“中国已授予其系统已有十多年的访问权限”。该组织强调，国防部计划使中国工程师能够访问五角大楼系统，而他们可能会以软件维护为幌子将弱点插入国防部系统。

微软的防御和透明度努力

微软为符合政府标准的护送系统辩护。一位公司发言人说：“对于一些技术查询，微软是由我们的全球专家团队致力于的，以根据美国政府的要求和流程提供授权美国员工的支持”。

该公司强调，“所有拥有特权访问权限的员工和承包商都必须通过背景考试”，并且“全球支持员工无需直接访问客户数据或客户系统”。微软还声称使用多个安全级别，包括批准工作流和自动代码审查以防止威胁。

对于该行业而言，微软同意与客户在机密性协议下的客户分享其等价（BOE）文件的基础，该协议证明了一定程度的透明度，这些透明度并未为许多其他云服务提供商提供。

长期影响和改革需求

政府的结构性变化

数字护送丑闻可能会导致美国政府管理和监视其IT基础设施的方式的根本变化。这些启示已经导致对国防承包商实践的控制和对占领敏感技术项目的更严格要求。

分析师期望整个行业的类似步骤，因为立法者和军官继续专注于网络安全风险以及政府IT系统供应链的完整性。对国防部所有云合同进行的持续审查可能会导致对安全惯例的整个行业重新评估。

对其他云提供商的影响

尽管目前的启示集中在微软，但尚不清楚其他为美国政府工作的云提供商（例如亚马逊网络服务或Google Cloud）是否依赖数字护送。这些公司在Prublica联系时拒绝就此事发表评论。

整个行业中类似实践的可能性广泛可能导致对政府合同的云安全实践进行全面审查和改革。国防部长赫格斯（Hegseth）表示，调查员可以调查经网络安全成熟度模型认证（CMMC）计划认证的提供商。

成本和效率与安全性

丑闻提出了有关政府IT合同的成本效率与安全之间的平衡的基本问题。微软对中国工程师的使用有时是出于保持低廉成本的愿望而激发的，同时提供了高素质的技术支持。

制定了数字护送计划的印地（Indy Crowley）告诉普鲁布里卡（Prublica）：“这始终是成本，努力和专业知识之间的平衡。因此，您可以找到足够好的东西”。微软使这种心态有可能使用其全球劳动力，而政府的要求显然可以满足，但现在可以进行基本的重新评估。

技术创新和未来的前景

自动化和网络安全方面的人工智能

关于数字伴游的启示强调了需要更高级的自动化安全系统，这些安全系统可以补充或取代人类的监督。现代网络安全技术，包括AI控制的威胁检测和自动代码分析，可以解决人类护送系统的一些弱点。

微软和其他云提供商已经在基于AI的安全解决方案中进行了大量投资，这些解决方案可以实时识别潜在的有害活动。将来，这些技术可能在减少对可能没有必要技术技能的人类中介机构的需求中发挥关键作用。

零信任体系结构及其实施

丑闻还增加了向零信任安全体系结构进行的运动，该架构认为没有实体 – 在网络 – 内部和内部都不是自动值得信赖的。这些方法需要持续验证和监视所有用户和设备，然后才能授予系统和数据。

对于政府云服务，实施强大的零信托原则可能会降低使用外国技术支持所带来的一些风险。这样的系统将要求每个动作 – 无论是谁携带 – 都通过多个安全级别验证。

经济影响和市场动态

对微软政府业务的影响

微软的政府业务是该公司的重要销售因素。根据最近的季度业绩报告，微软从政府合同中产生了可观的收入，在第一季度，美国客户的营业额中有超过一半。

根据分析师的说法，受争议影响的Azure Cloud Services部门产生了公司总销售额的25％以上。微软获得或保留政府合同的能力的任何长期损害都可能产生重大的财务影响。

云行业的竞争影响

丑闻可以使微软在云行业的竞争对手受益，尤其是已经是最大的云提供商和Google Cloud的亚马逊Web服务（AWS）。如果政府机构开始质疑微软的安全惯例，您可以转向可以提供更强大安全保证的替代提供者。

争议也可能导致行业范围内的安全标准升级，因为提供商试图与微软案中提出的问题保持距离。这可能会导致更高的成本，但也改善了整个行业的安全实践。

对全球技术供应链的影响

这些启示还引发了有关在地缘政治紧张局势时期全球技术供应链的可持续性的广泛问题。许多技术公司依靠来自不同国家的才能和资源，包括那些被视为潜在对手的国家。

关键技术服务的“ Freund-Salung”或“近乎种植”的趋势可能会加速，因为政府试图减少其对潜在有问题的外国供应商的依赖。这可能会导致全球技术公司的结构和运作方式发生重大变化。

监管改革和政治后果

法律的潜在变化

数字护送丑闻可能会导致相当大的监管改革，旨在防止将来类似的安全差距。国会可能会引入更严格的外国工人在敏感的政府项目中或开出扩展背景测试和监视要求的要求。

可能的改革还可能包括与政府合作的云服务提供商的扩展透明度要求，包括有关所有能够使用政府系统的员工的国籍和资格的详细报告。

对未来采购实践的影响

争议还可能导致政府采购实践的根本变化。未来的合同可能包含更严格的安全要求，扩展的审计权利以及对违反安全性的惩罚。

政府还可以开始将安全性更高的优先级优先考虑，这可能会导致更高的IT服务费用，但也可以提供更强大的安全保证。这可能特别适用于包括国家安全数据在内的高度敏感项目。

Microsoft Digital Escort丑闻已经发现了美国政府管理和监视其最敏感的IT系统的关键脆弱性。十年来，中国技术人员可以进入五角大车云系统的揭幕，这不仅引发了立即的政治和企业家反应，而且还提出了有关成本效率与国家安全之间平衡的基本问题。

国防部长赫格斯（Hegseth）和微软立即进行政治变革的快速反应表明，对局势的严重性的认识。但是，这一丑闻的含义远远超出了单一的公司实践。它们影响了民主社会如何在日益连接和地缘政治世界中保护其最关键的数字基础设施的核心问题。

长期影响可能是对云安全实践的基本重新评估，更严格的监管要求，并可能对全球技术公司与国家政府互动方式进行重新设计。尽管微软在政治变化和五角大楼的检查中的变化可能会遇到直接危机，但在全球技术格局中调和安全与效率的更广泛挑战。

马库斯·贝克尔

我很乐意担任您的个人顾问。

业务发展主管

董事长中小企业连接国防工作组

领英

康拉德·德军总部

我很乐意担任您的个人顾问。

您可以在Wolfenstein∂xpert.digital或

+49 89 674 804 （慕尼黑）打电话给我

领英