文章总结： 文档报道了美国国防承包商L3Harris旗下网络武器部门Trenchant前总经理彼得·威廉姆斯，窃取至少8款专有网络工具并出售给俄罗斯漏洞经纪商OperationZero的案件。事件暴露了西方网络武器供应链的内部人威胁、商业机密与国家安全的界限模糊，以及漏洞泄露后全球通报机制的缺失。文章警示中国需警惕成为二手漏洞攻击目标，并审视自身网络供应链安全。 综合评分： 78 文章分类： 威胁情报,供应链安全,漏洞预警,安全大事件,其他

内鬼、黑客与替罪羊?L3Harris“核武级”漏洞泄露案拷问西方情报供应链安全

原创

网空闲话 网空闲话

网空闲话plus

2026年2月26日 07:35 北京

2026年2月24日，美国财政部外国资产控制办公室（OFAC）根据《保护美国知识产权法》首次采取行动，对俄罗斯漏洞经纪商Operation Zero及其创始人谢尔盖·谢尔盖耶维奇·泽列纽克实施制裁。次日，涉案核心人物——美国国防承包商L3Harris旗下网络武器部门Trenchant的前总经理彼得·威廉姆斯被判处87个月监禁。这一时间上的巧合，标志着近年来最严重的西方网络武器泄露事件暂告一段落，但案件背后的诸多谜团远未解开。

威廉姆斯，39岁澳大利亚公民，早年曾任职于澳大利亚信号局（ASD）——相当于美国国家安全局，负责澳政府系统网络防御及境外信号情报搜集。2016年起，他加入L3Harris Trenchant，逐步升任总经理。Trenchant是专门为五眼联盟（美国、英国、加拿大、澳大利亚、新西兰）开发零日漏洞利用程序的敏感部门，其前身是Azimuth Security和Linchpin Labs，后被L3Harris收购整合。该部门开发针对Chrome、iOS、Android、Windows等主流平台的攻击工具，直接服务于美国及其最亲密情报伙伴的网络行动。

2022年至2025年间，威廉姆斯利用其对公司安全网络的“完全访问权限”，窃取了至少8款专有网络工具。他通过化名“约翰·泰勒”的加密电子邮件账户联系Operation Zero，以换取价值130万美元的加密货币。他用这笔赃款支付了华盛顿特区一处房产的首付，并购买了珠宝、劳力士等高端及仿制手表在内的奢侈品清单。为获取额外报酬，他甚至同意为出售的漏洞提供三个月的技术支持或软件更新。

Operation Zero总部位于俄罗斯圣彼得堡，公开宣称“最终用户是非北约国家”，悬赏征集针对Android、iOS、Telegram、Windows等流行软件的零日漏洞，赏金高达2000万美元。该经纪商还试图招募黑客、开发间谍软件、研究从AI应用程序（如大语言模型）中提取用户敏感数据的方法。美国财政部指出，Operation Zero将这些窃取的工具出售给了“至少一名未经授权的用户”，可能包括外国情报机构或勒索软件团伙。

一、未解之谜之一：究竟泄露了哪些“核武级”漏洞？

这是本案最核心、也最隐秘的问题。法庭文件显示，Trenchant估计损失达3500万美元，但强调“被盗工具并非政府机密”。美国司法部的指控称，这些工具“可能使任何使用它们的人有能力访问世界各地数百万台计算机和设备”。这一描述直指主流消费软件中的零日漏洞——可能是影响Android设备、iPhone、Chrome浏览器、Windows系统或Telegram等应用的致命缺陷。

有证据指向具体范围。在2025年的一场听证会上，检察官当庭宣读了Operation Zero在X平台发布的帖子：“由于市场需求旺盛，我们将提高顶级移动端漏洞的奖励”，并特别提到Android和iOS系统，赏金从20万至2000万美元不等。这意味着威廉姆斯泄露的工具很可能包含针对全球数十亿移动设备的攻击能力。

更深层的担忧在于：这些漏洞是否已被用于实际攻击？谁掌握了它们？在威廉姆斯认罪后，苹果和谷歌均未回应媒体关于是否收到L3Harris通报的询问。如果漏洞尚未修复，全球用户的设备可能仍暴露在风险之中。Trenchant作为五眼联盟的专属武器供应商，其开发的漏洞本应仅用于情报搜集和网络防御，如今却可能流入对手甚至犯罪团伙手中。

二、未解之谜之二：Operation Zero的“最终用户”是谁？

美国财政部的制裁公告仅披露Operation Zero将工具出售给了“至少一名未经授权的用户”，留下巨大想象空间。已知线索包括：

Operation Zero公开宣称其客户为“非北约国家”，这自然包括俄罗斯、中国、朝鲜等美国的战略对手。

该经纪商曾试图“通过社交媒体与外国情报机构建立业务关系”。

其关联人员中包括奥列格·维亚切斯拉沃维奇·库切罗夫——Trickbot勒索软件团伙的成员。Trickbot曾对美国医院和关键基础设施发起勒索攻击。

威廉姆斯在交易中提供“技术支持或软件更新”，表明买家需要持续的能力维护，这更像是情报机构的长期需求，而非一次性的犯罪工具。

财政部同时制裁了阿联酋公司Special Technology Services LLC FZ（STS），该公司由泽列纽克控制，暗示Operation Zero在中东也有触角。

综合这些信息，最可能的买家是俄罗斯情报机构，但也不能排除漏洞经多次转手，最终流向其他非北约国家甚至犯罪组织的可能性。一个值得警惕的事实是：Operation Zero的商业模式本身就是“向非北约国家出售攻击能力”，这意味着任何美国的对手都可能通过合法或非法途径获取这些武器。

三、未解之谜之三：谁攻击了“替罪羊”？

本案中最具悬疑色彩的细节，是那位被威廉姆斯指控窃取代码的“替罪羊”员工——化名“杰伊·吉布森”的前Trenchant工程师。威廉姆斯在任期间，曾以吉布森涉嫌泄露Chrome零日漏洞为由将其解雇。然而在吉布森被解雇后，他于2025年3月5日收到苹果公司的通知：他的个人iPhone遭到了“雇佣间谍软件攻击”——这类攻击通常使用NSO Group等公司的商业间谍工具。

谁在攻击吉布森？时间线耐人寻味：

2024年末至2025年夏季，FBI正在调查威廉姆斯泄密案，并与威廉姆斯保持“定期联系”。

作为调查的一部分，L3Harris已将吉布森的设备没收并移交FBI。

2025年3月5日，吉布森收到攻击通知，此时距离FBI启动调查已过去数月。

可能的解释包括：FBI或某情报机构试图通过入侵吉布森的设备，寻找泄密案的证据；或者，真正的泄密者威廉姆斯为掩盖罪行，试图制造吉布森被“境外势力”盯上的假象；甚至可能是Operation Zero方面为验证吉布森是否掌握其他漏洞而发起的攻击。在量刑听证会上，检察官证实吉布森被解雇，并指责威廉姆斯“袖手旁观，任由公司另一名员工因其自身行为受到指责”。威廉姆斯的律师则反驳称吉布森因“双重雇佣和不当处理公司知识产权”被解雇。真相可能永远封存在机密档案中。

四、启示：网络武器供应链的致命脆弱性

这起案件暴露了西方网络武器生态系统的多个致命缺陷：

1. “内部人”威胁的防不胜防。威廉姆斯拥有最高权限、身居总经理要职，且曾服务于澳大利亚顶级情报机构。这样的人叛变，传统的背景审查和访问控制机制完全失效。他用移动硬盘拷贝代码、用加密货币收款、用化名签约，持续作案三年未被发现，直至FBI从外部渠道获悉漏洞已在黑市流通才启动调查。

2. 商业机密与国家安全的界限模糊。Trenchant虽是私营公司，但其产品直接服务于五眼联盟的网络攻击能力。当这些工具被窃取，受损的不仅是企业利润，更是国家情报能力和盟友信任。然而这类“中间态”实体的安全标准远低于政府机构，成为攻击链中的薄弱环节。

3. 漏洞经纪商的“灰色地带”被恶意利用。Operation Zero自称“合法漏洞经纪商”，但其拒绝向厂商披露漏洞、公开悬赏攻击能力、宣称只卖给“非北约国家”的行为，本质上是在为美国的对手提供武器。国际社会缺乏对这种跨境网络武器交易的监管机制。

4. 泄露后的处置机制缺失。即便威廉姆斯认罪，那些已泄露的漏洞仍可能在黑市继续流通。苹果、谷歌等厂商至今未收到官方通报，全球用户的安全处于未知风险中。美国政府似乎更关注追责和制裁，而非漏洞的及时修复。

【闲话简评】

这起案件无论是对保密工作、漏洞治理还是供应连安全，都具有重要的警示意义。具体在于：

第一，警惕成为“二手漏洞”的攻击目标。Operation Zero明确将“非北约国家”作为客户，这意味着中国可能成为这些泄露工具的潜在受害者。中国的政府机构、关键基础设施和亿万网民使用的Android手机、Windows电脑、即时通信软件，都可能暴露在Trenchant开发的未知漏洞之下。我们必须假设：某些针对中国的0day攻击，源头可能正是这些泄露的西方网络武器。

第二，审视自身的网络供应链安全。中国也有大量为政府服务的网络安全企业、漏洞研究团队。这起案件提醒我们：必须建立严格的内部审计和人员背景追溯机制，对能够接触核心漏洞库的人员实施最小权限原则和行为异常监控。加密货币支付、化名签约等洗钱手法应成为金融监控的重点。

第三，推动建立漏洞泄露的全球通报机制。当前，漏洞泄露后厂商往往不知情，用户长期暴露于风险中。中国应联合各方推动建立“网络工具泄露应急通道”，要求发现泄露的政府或企业在第一时间匿名通报受影响厂商，而非仅关注追责。这对全球数字安全至关重要。

最后，网络安全的核心是人，最坚固的防线也可能从内部瓦解。任何国家、任何组织都无法完全杜绝“内鬼”，但可以通过制度设计让背叛的成本更高、被发现的风险更大。对中国而言，不仅要筑好自身城墙，还要警惕那些从西方高墙中泄露的“武器”最终落在何处——它们可能正在暗处瞄准我们。

美国首次动用《保护知识产权法》：制裁俄罗斯零日漏洞经纪网络

3500万美元漏洞利用工具的暗网贱卖内幕

参考资源

1、https://techcrunch.com/2026/02/25/inside-the-story-of-the-us-defense-contractor-who-leaked-hacking-tools-to-russia/

2、https://www.wired.com/story/peter-williams-trenchant-trade-secrets-theft-russian-firm/

3、https://home.treasury.gov/news/press-releases/sb0404

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《内鬼、黑客与替罪羊?L3Harris“核武级”漏洞泄露案拷问西方情报供应链安全》