[文/观察者网 阮佳琪]
美国陆军战场通信网络急需的现代化升级工作,目前大多由硅谷出身的公司负责。
当地时间10月3日,路透社披露的一份美国陆军内部备忘录写到,由军用无人机及软件制造商安杜里尔(Anduril)主导研发、数据分析公司帕兰提尔(Palantir)作为主要合作方提供支持的战场通信系统,存在大量“基础性安全”问题与漏洞,应被归为“极高风险”等级。
据报道,Anduril近来宣称,在赢得合同仅八周后,其研发的“下一代指挥与控制通信平台”(NGC2)原型机便已在战场测试中投入使用。据介绍,这份政府合同价值约1亿美元,合作方包括Palantir、微软以及多家小型承包商。
然而,负责NGC2原型机授权事宜的美国陆军首席技术官加布里埃尔·基乌利(Gabriele Chiulli),在写于9月5日的内部备忘录指出,其对NGC2初始产品的安全评价极为悲观。
NGC2的核心功能是实现士兵、传感器、车辆与指挥官之间的实时数据互联。但这份聚焦于系统安全状况的备忘录称,“我们无法控制谁能看到哪些信息,无法掌握用户正在进行的操作,也无法验证软件本身是否安全。”
基乌利写道,“鉴于该平台当前的安全状况,以及其搭载的第三方应用程序,敌方极有可能获得对该平台的持续且无法被检测的访问权限,因此该系统必须被视为极高风险对象。”
美国第4机步师是首个在实弹训练中使用NGC2的部队。Anduril官网
路透社引述其获得的内部文件称,备忘录还指出,该系统允许任何获得授权的用户访问所有应用程序和数据,无论用户的安全许可等级或实际作战需求如何。因此备忘录强调,“任何用户都有可能访问并滥用敏感的”机密信息,且系统没有日志记录功能来追踪用户的操作行为。
备忘录还着重指出了其他缺陷,比如系统搭载的第三方应用程序均未通过美国陆军的安全评估。其中一款应用程序被检测出25个高严重性代码漏洞。另有三款正在审核的应用程序,每款都包含超过200个需要评估的漏洞。
另据美媒报道,基乌利还在这份文件中措辞严厉地写道,“(美国)陆军缺乏确保平台安全性与完整性所需的可见性及管控能力。目前似乎存在一种倾向:急于将功能引入系统,却缺乏实际的监督机制或执行流程,这进一步加剧了系统的风险。”
据路透社报道,这份备忘录最早由美国军事媒体“Breaking Defense”披露,随即再次引发关于硅谷“快速行动、打破常规”的理念不适用于研发关键军事装备的批评。周五,Palantir的股价收盘下跌7.5%。Anduril目前尚未上市。
对此,Anduril回应称,备忘录所提出的问题已在“正常的开发流程”中得到解决。该公司在发送给路透社的一份声明中表示,“这份报告反映的是之前的情况,并非该项目当前的实际状态。”
Palantir的一位发言人则称,在该公司的平台中“没有发现任何漏洞”。
周五接受路透社采访时,基乌利的上级、美国陆军首席信息官莱昂内尔·加西加(Leonel Garciga)解释称,许多问题已在数周或数天内得到解决。
“据我所知,目前仅剩一款应用程序仍存在部分漏洞,相关团队正在着手修复。”他补充称,与供应商进行坦诚沟通至关重要。
加西加还透露,下周,NGC2系统所依赖的Palantir联邦云服务有望获得美国陆军的批准,得到一项名为“持续运行授权”(continuous authority to operate)的关键许可,从而能更快速地部署软件更新。
“Breaking Defense”早前报道提到,NGC2是美国陆军现代化的首要优先事项,预计于2026年进入全师级部署。美国第4机步师已启动了一系列所谓“冲刺活动”(sprint events),旨在逐步为系统增加功能。
报道称,基乌利的备忘录发布于首场“冲刺活动”举办的前10天。他直言,缺陷的“累积效应”让NGC2看起来更像是一个“黑匣子”,陆军无法管控网络中哪些用户能执行特定操作、能查看哪些信息。
不过,美国陆军官员并未具体说明备忘录中提到的缺陷是通过何种方式、以及何时完善的。加西加仅称,在9月15日举行的活动中,NGC2的表现良好。
此后不久,负责美国陆军网络安全和网络的副参谋长杰斯·雷伊(Jeth Rey)也为此辩护称,尽早发现系统中的早期缺陷是该部队预期流程的一部分。他强调,已经采取措施纠正这些缺陷。
他说,“这是一项全新的能力建设项目,我们发现了风险,并且立刻采取了缓解措施。对我们未来的工作而言,这是一个积极信号。如果我们能持续以这种方式开展工作,且现有流程切实有效,我对此表示满意。”