震撼曝光:GFW内部文件泄露事件综述

[cite_start]2025年9月12日,Great Firewall Report发布了一篇题为《积至公司与MESA实验室:防火长城史上最大规模文件外泄分析》的报道,揭露了中国互联网审查系统“防火长城”(GFW)大规模内部文件泄露事件 [cite: 1]。这次泄露的文件来自多个与GFW相关的核心机构,包括积至(海南)信息技术有限公司(被认为是GFW的真正大脑和牵头人)、中科院哈尔滨工业大学北京邮电大学华为研究院阿里云等。

[cite_start]泄露内容最初由独立非营利性黑客组织 Enlace Hacktivista(西班牙语意为“黑客行动主义”,成立于2022年,强调信息披露以维护公共利益)公开 [cite: 2][cite_start]。反审查开源社区 Net4People(以GitHub为沟通平台)对此进行了公开讨论,参与者中不乏业界知名的计算机专家,如著名科学上网工具 xray 的作者Tor项目的核心贡献者 David M. Fifield [cite: 3]。

GFW泄露文件的关键信息与分析

此次泄露的文件量巨大,内容高度敏感。泄露的材料不仅被多个安全组织交叉验证,证实是GFW的主力服务程序代码,也被InterSecLab直接称为“The Internet Coup”(互联网政变),认为GFW的技术对外扩张已经严重威胁公民社会,等同于将其他国家划入了中国的数字审查版图。

1. 泄露文件内容分析

  • 程序代码: 容量最大的文件夹名为 mirror,存储了 463GB 的压缩文件,解压后超过 500GB,包含GFW的程序。
    • GFW的构建大量使用了免费的开源软件
    • 部署环境与普通PC机类似(x86_64),目标机器是 Red Hat Enterprise Linux 7(RHEL7),该版本已于2024年6月30日终止维护,表明部署环境相对老旧。
    • 文件包含了 develdebuginfodebug-devel 包,虽然缺少原始代码的 src 包,但技术人员仍可通过C++头文件获取内部函数信息,推测代码行为。
  • 文档、源代码和任务分配: 约一百多GB的压缩文件来自积至和中科院信息工程研究所的MESA(Massive Effective Stream Analysis)网络流量研究团队,这是后续分析的重点。
  • 个人/行政文档: 数量最多的 docx 文件,涉及会议翻译、合同、学习计划、发票等个人和行政内容。这些文件显示:
    • 积至员工通过翻墙在海外学习黑客攻防技术
    • 文档中包含员工申请VPN访问外网的规定
    • 泄露的文件源自多位员工,其中一位名为 汤燕,她生活在北京,并研习黑客技术。

2. 泄露的发生机制:黑客攻破而非主动曝光

通过将泄露文件按上传时间分组,发现主要上传发生在 2024年11月2025年1月2025年9月,这表明安全组织对代码和文档的分析已长达 10个月。最新的服务器安装包在9月9日刚刚上传。

由此得出的结论是:这次泄露事件并非来自内部人员的主动曝光,而是 GFW科研中心被黑客攻破,并在长达一年的时间里被不断打包并向外传输数据。这暴露了管控技术集大成的积至团队对自身的安全管理混乱、充满傲慢与无知。

3. GFW能力的升级与对策

泄露的代码分析表明,GFW已不再是单纯的对外封禁的防火墙,而是一个对个人信息进行聚合、校验、探测、阻断、篡改、控制的新型智能体。它已从静态阻断发展成管控为主、察打一体、协同监视的信息战平台,且已在全球部署。

xray 的作者在 Net4People 的讨论中特别强调了对策:

  • xray 用户在使用中转方式时,应显式开启 VLESS Encryption,以避免中间人攻击。
  • 自建科学上网节点的用户,应强制使用 PIN 码进行服务器验证,以保护自己。

中间人攻击的威胁: GFW能够利用根证书进行中间人攻击,监听 HTTPS 内部流量,因为科学上网程序对安装在系统内的根证书是无条件信任的。积至公司的研发中心位于北京市西城区京版信息港大厦,其隔壁就是北京数字证书认证中心(BJCA)

官方的快速响应与追踪技术

泄露事件公开后,官方立即做出了快速反应。

  • 积至官网升级: 积至公司在泄露事件公开后,迅速升级了官方网站。
  • 长亭科技的安全防护: 积至的孪生单位——长亭科技(SafeLine WAF),在9月13日为积至定制了Web动态防护系统,该系统可以:
    • 检测出用户是否使用了科学上网工具访问积至网站。
    • 如果开启了规则模式或时区设置与源地址不同,会对用户进行标注,并在一定条件下拒绝访问
  • 频域水印追踪技术: 积至公司的网页增加了新的追踪设置。页面中含有大量隐藏的不规则色块,构成了良好的频域水印
    • 如果国内用户对页面截图并转发,公安可通过频域水印立即追查到截图人的实名信息
    • 即使截图经过压缩、裁剪、旋转、变形或添加新的笔触,也无法破坏频域水印中的内容。

这种严肃的快速响应表明,普通用户根本没有“接着奏乐接着舞”的机会。

互联网上的“噪音”与误导

在泄露事件发生后,网络上出现了两种主要的舆论“噪音”,它们都对泄露的价值和GFW的能力存在误导。

  1. “GFW即将倒塌”论: 泛法轮功类媒体主要观点是泄露文件会导致 GFW 轰然倒塌。
  2. “机场/VPN主动配合”论: 教授翻墙技术的博主声称 GFW 确实能识别翻墙行为,但如果大陆用户使用先进伪装技术仍被识别,只能说明 VPN/机场经营者主动配合进行了数据上报。他们认为,翻墙流量对 GFW 来说本应是无法识别的加密流量。

这些博主甚至给出惊人结论:翻墙行为对防火墙是“无害的”,GFW“懒得管也管不过来”,因此翻墙是安全的。

驳斥:

  • GFW 不会“懒得管”: 防火长城的建立就是为了控制信息,不可能因为“懒得管”而放弃每年数千亿花费的巨型项目。
  • [cite_start]色情/盗版内容无需翻墙: 访问盗版电影和成人视频不需要科学上网。GFW早已将相当数量的这类站点加入了白名单,所有人都可以轻松访问,甚至有些恶意镜像站由警方国企运营,长期在大陆地区正常访问 [cite: 2]。科学上网的目的是为了获得信息、知识,而非娱乐内容。

总之,这次泄露事件提供了一个千载难逢的机会,让 GFW 不再是想象中的“利维坦巨兽”,而是可以深入学习的参考资料。正如《孙子兵法》所说:“知彼知己者,百战不殆”。对普通用户而言,提高安全水平是避免严重风险和后果的唯一途径。

总结要点

  1. 泄露时间点: GFW的核心代码首次泄露发生在 11个月以前(2024年11月)。
  2. 核心确认: 经过多个安全组织的交叉验证,积至的代码被证明是 GFW的主力服务程序
  3. GFW的进化: GFW已发展成了管控为主、察打一体、协同监视的信息战平台,并在全球部署。
  4. 用户风险: 对于普通用户来说,如果不提高自己的安全水平,将面临 严重的风险和后果
  5. 自身安全问题: 泄露事件暴露了 GFW自身存在的安全问题(被黑客攻破)。

展望未来

这次文件泄露为我们提供了学习和了解 GFW 运作机制的宝贵资料。未来,我们将持续学习安全技术,探究防火长城背后的故事。

想要了解如何提升个人隐私保护程度,请期待下期内容《安全Firefox》