文章总结： 美国智库大西洋理事会发布报告，系统分析间谍软件市场中中间商（经纪商、经销商、基础设施提供商等）在攻击性网络能力扩散中的关键作用。中间商通过跨越管辖界限促成交易、填补产品开发空白及支撑作战部署三大机制驱动市场扩张，同时造成价格虚高、产品同质化与透明度缺失等问题。报告提出四项政策建议：实施了解你的供应商要求、完善企业登记制度、建立认证经纪商与经销商计划、加强国际合作，以提升市场透明度并遏制技术滥用。 综合评分： 78 文章分类： 威胁情报,政策法规,网络安全,漏洞分析

中间商在攻击性网络能力扩散中的作用：全球间谍软件市场的隐秘推手与监管盲区

原创

网空闲话 网空闲话

网空闲话plus

2026年3月27日 07:05 北京

2026年3月18日，美国智库大西洋理事会发布题为《神话中的野兽：调查中间商在攻击性网络能力扩散中的作用》的研究报告。该报告由大西洋理事会网络战略倡议副主任詹·罗伯茨、非驻院研究员萨拉·格雷厄姆及研究助理莱拉·伦威克-阿奇博尔德共同撰写，系“神话中的野兽”项目系列研究的最新成果。

报告聚焦于攻击性网络能力（Offensive Cyber Capabilities，OCC）市场中长期被忽视却扮演关键角色的中间商群体。报告指出，随着各国政府通过“帕尔马尔进程”等多边机制寻求对这一高度碎片化行业建立规范，中间商领域的公共认知匮乏已成为重大政策障碍。这一市场的透明度缺失，正在削弱问责、合规与尽职调查的有效性，并可能使攻击性网络能力不受限制地扩散至滥用者手中。

一、中间商的界定与类型划分

报告对“中间商”作出明确定义：指为最终攻击性网络能力产品提供必要产品或服务的实体。基于功能差异，报告将中间商细分为以下类型：

经纪商（brokers），有时亦称为漏洞经纪商或中间人，从研究人员处购买漏洞或利用组件，再出售给政府或其他客户。每笔交易可能涉及单个经纪商或经纪链条。经纪商通常销售攻击性网络能力的单一组件，而非打包产品。报告举例称，俄罗斯漏洞经纪公司Operation Zero专门从事零日漏洞的收购与销售。

经销商（resellers）通常采购后对网络入侵产品进行重新包装或品牌重塑，再向新客户出售。与经纪商不同，经销商倾向于将产品与服务打包销售，包括技术支持、培训及产品本地化适配，使客户更易部署。报告举例称，意大利RCS Lab曾代表Hacking Team销售Hermit间谍软件。

报告还指出，其他相关角色包括基础设施提供商（为多个供应商租赁域名、托管或运营基础设施）、接入服务提供商（将漏洞整合到工具中以“接入即服务”形式出售）等。此外，“合作伙伴”一词在行业材料中常被用作涵盖上述多种角色的笼统表述。

报告特别指出，2025年《帕尔马尔行为准则》虽将“经销商、分销商、经纪商和系统集成商”统一归入“中间商”范畴，但对各类实体的具体功能着墨甚少。相比之下，美国国务院2023年《指导原则》将“供应商”和“监控技术”作为宽泛类别，未明确提及经纪商、经销商等角色。报告认为，这种模糊性使政策难以精准发力。

二、中间商对市场的影响：驱动扩张与制造障碍

报告通过对行业专家的圆桌访谈和案例分析，提炼出中间商对攻击性网络能力市场的双重影响。

（一）驱动市场扩张的三种机制

其一，中间商跨越管辖界限促成交易。报告援引多起案例：2017年，以色列间谍软件厂商Quadream Inc.设立经销商InReach Technologies Limited，以规避欧盟两用物项出口管制。2018年，孟加拉国通过匈牙利和泰国的经销商购得以色列监控技术，绕过该国对以色列的直接贸易禁令。2021年，孟加拉国再次通过Intellexa Consortium的经销商Passitora Ltd及瑞士经纪商Toru Group Limited完成采购。报告指出，南非公司VASTech则作为经销商，为Memento Labs（原Hacking Team）向“本地客户”销售间谍软件。

其二，中间商填补产品开发环节的商业空白。报告引述专家观点称，成功的漏洞经纪商与政府实体和私人客户保持长期关系，能够高效匹配客户需求与漏洞供应。他们不仅促成交易，还通过捆绑销售基础设施搭建支持、利用难以追踪的交易平台等方式，为漏洞厂商解决开发链条中的断点。

其三，中间商为攻击性网络能力的作战部署提供支撑。报告援引Recorded Future对Predator间谍软件的分析指出，Intellexa Consortium旗下的中间商承担了从建立作战训练中心、设立空壳公司运输产品到提供数据分析系统等多样化部署角色。值得注意的是，即便Intellexa自身拥有“内部”中间商，仍需外部签约中间商支持特定目标的作战部署。

（二）制造市场混乱的三重障碍

其一，价格虚高。多位专家指出，经纪链条中每一环节加价幅度约为10%至15%。报告举例称，波兰中央反腐败局采购NSO Group的Pegasus间谍软件时，经销商MATIC的加价幅度接近150万美元。这种层层加价将高端能力推至中小国家难以企及的高度，实质性地限制了市场准入。

其二，产品同质化。专家指出，当前市场对iOS和Android设备等热门目标的过度追逐，导致中间商将资源集中于少数高价值漏洞的收购，对可用于实现同样目标的其他漏洞关注不足。从工程角度看，这种“众目睽睽皆聚焦于同一目标”的局面导致产品创新空间受到压缩。

其三，透明度和尽职调查受阻。报告指出，中间商的存在使供应链变得浑浊。Memento Labs首席执行官近期承认，其客户滥用了旧版恶意软件，而一旦经销商介入，厂商便难以控制变种扩散。NSO集团2025年发布的透明度报告因缺乏关于供应链、客户等具体细节而遭到批评。报告认为，在利润驱动和保密文化双重作用下，经纪商和经销商缺乏披露真实信息的动力。

三、政策建议与行业反馈

针对上述问题，报告提出四项政策建议：

第一，实施“了解你的供应商”要求。在美国，联邦采购法规委员会应更新《联邦采购条例》及相关补充规定，要求竞标政府网络运营合同的经纪商和经销商披露供应商关系、供应商网络、投资者、分包商及控股实体信息。在英国，内阁办公室应更新采购法规，要求提供间谍软件相关服务的中间商披露完整供应链。

第二，完善企业登记制度。报告建议，企业登记系统应至少包含以下信息：公司基本信息（名称、注册号、税号、地址、联系方式、注册日期）、所有权详情（高管、管理委员会、实际受益人、投资者）、运营详情（员工数量、运营地理范围、获准经营司法管辖区）及公司历史（名称变更、并购、前身实体）。在美国，全国州务卿协会可就此向各州发布指导；在英国，议会应考虑修订《2006年公司法》，在登记系统中增加供应链相关实体信息。

第三，建立“认证经纪商与经销商计划”。报告建议，作为“帕尔马尔进程”的主导方，英国和法国应建立内部认证计划，对合规记录良好的经纪商和经销商予以认证。在美国，工业与安全局（BIS）应负责认证计划的实施，国务院应协调提供人权影响评估，外国资产控制办公室负责制裁筛查。在英国，出口控制联合单位（ECJU）应负责认证计划，外交、联邦与发展办公室提供人权影响评估，财政部金融制裁实施办公室负责制裁合规核查。

第四，加强国际合作。通过“帕尔马尔进程”等多边平台，协调各国在中间商监管方面的信息共享与政策协同。

应用安全公司Black Duck解决方案管理高级总监科林·霍格-斯皮尔斯在接受媒体采访时表示，中间商的公司架构“天生就是为了让出口管制形同虚设”。间谍软件市场已从供应商直接供货演变为“模块化供应链”，中间商填补了买方无法独自填补的每一处空白——从漏洞利用工程、操作培训、部署基础设施，到最重要的“能够隐藏来源的法律文件记录”。

威胁情报公司Recorded Future首席威胁研究员朱利安-费迪南德·沃格勒指出，中间商通过简化跨境采购流程、将工具与培训和支持捆绑销售，降低了准入门槛，同时增加了不透明度，模糊了关系，并利用了司法管辖区的差异。

报告作者詹·罗伯茨表示，提高透明度是监管中间商乃至整个间谍软件行业的关键。“毕竟，”她援引一句广为流传的表述称，“无法监管的东西，最终是难以监管的。”

四、报告结论

报告指出，中间商是攻击性网络能力供应链中不可或缺的“赋能者”与“连接者”。他们通过扩大市场准入、支持产品开发、促进作战部署推动能力扩散，同时通过价格抬高、产品同质化和供应链混淆制造市场障碍。在各国政府、技术企业和公民社会围绕“帕尔马尔进程”展开多利益相关方对话之际，报告呼吁将透明度从口号转化为可执行的制度设计，在遏制技术滥用与保护合法安全研究之间寻求平衡。

参考资源

1、Mythical Beasts: Investigating the role of intermediaries in the proliferation of offensive cyber capabilities – Atlantic Council

2、https://www.darkreading.com/cyber-risk/intermediaries-driving-global-spyware-market-expansion

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《中间商在攻击性网络能力扩散中的作用：全球间谍软件市场的隐秘推手与监管盲区》