文章总结： 本文分析了当代情报行动中新兴的’一次性代理人’模式，即情报机构通过社交媒体招募非专业人员执行单一任务，以降低成本和风险。关键发现包括该模式具有可否认性强、溯源难度高等优势，并通过德国破坏行动等案例佐证。可操作建议涉及通过金融溯源、寻找中间枢纽等方法识别此类行动。 综合评分： 85 文章分类： 威胁情报,渗透测试,社会工程学,安全意识,应急响应

为什么今天的情报机关越来越少亲自下场？因为廉价代理人更好用

001 001

情报分析师

2026年4月2日 11:08 辽宁

01

一个看起来像普通刑事案的故事

2024年，德国慕尼黑。一名乌克兰男子接受了一个网络上不知名雇主给出的”小任务”——去拍摄几处仓库外观，顺便在某处附近放一个包裹。

报酬：几百欧元，通过加密货币支付。

他不知道雇主是谁，也不知道这个”任务”对应的是什么情报优先项。他只是觉得钱来得容易。

被捕时，他面临的控罪是涉嫌为俄罗斯军事情报机构（GRU）进行侦察活动，支援针对欧洲军民基础设施的破坏行动。

这就是2026年间谍战里最值得研究的故事结构：外表是治安新闻，内里是国家级博弈。

02

“用完即弃”——不是比喻，是系统设计

让我们先定义清楚”一次性代理人”（Disposable Agents）这个概念。

根据英国皇家联合军种研究所（RUSI）2026年1月14日发布的报告《应对俄罗斯破坏活动融资》，以及西班牙国防部2025年发布的专题研究，这一模式的本质是：将传统情报行动中需要经过长期培训、深度嵌入的专业特工，替换为通过社交媒体临时招募、按任务付酬、行动完成即断联的非专业人员。

具体运作逻辑：

招募渠道：Telegram、游戏平台、招聘类网站，锁定财务困难者、青少年、具有苏联时代军事经历的老兵，以及身处欧洲的移民社区

任务分配：单一任务，最低知情原则——被招募者通常只知道”做什么”，不知道”为什么”和”谁在指挥”

支付方式：加密货币或现金，金额从数百到数千欧元不等，金额小到足以让大多数国家的金融情报雷达忽略

链条断裂设计：GRU官员通过中间人（facilitator）与被招募者通信；中间人与被招募者之间再隔一层。2024年11月被捕的亚历山大·贝兹鲁卡维（Alexander Bezrukavyi）就是这样一个关键的”中间枢纽”——他将GRU处理官与欧洲各地的犯罪网络和在线求职者连接起来。

Leiden大学安全与全球事务研究所（ISGA）的Bart Schuurman博士对相关案例进行了抽样研究，发现近40%的代理人参与了不止一次行动——”用完即弃”的说法其实并不完全准确，俄方确实会对表现出效能的资产进行复用，并逐步培养其情报素养。

03

为什么这个模式在高压反间谍环境下如此有效？

2022年以来，欧洲的反间谍压力急剧上升。

波兰、爱沙尼亚、德国、英国、法国等国在这一时期驱逐了大量俄外交官，关闭了多条传统情报渠道。 正规情报官的活动空间被严重压缩。

在这种压力下，”一次性代理人”模式具有压倒性的战略优势：

| | | | | — | — | — | | 维度 | 传统专业情报官 | “一次性代理人” | | 培训成本 | 极高（数年培训） | 近乎为零 | | 被捕风险 | 高（身份可识别） | 低（无档案记录） | | 可否认性 | 有限（外交掩护暴露后难以否认） | 极强（与情报机构无正式关联） | | 行动成本 | 高 | 数百到数千欧元 | | 查到最后的溯源难度 | 中等 | 极高——链条断裂设计使溯源趋于不可能 | | 心理稳健性 | 高 | 低——容易崩溃供出信息 |

这最后一点值得额外注意：一次性代理人被捕后，往往会供出所有已知信息——但他们的已知信息极其有限，恰恰就是设计目标。

04

数字信号——你能看到多少已发生的案例

让我们逐一拆解几个有据可查的案例，理解这条链条如何在现实中运转。

案例一：德国破坏行动系列，2024

德国联邦刑事局（BKA）披露，2024年在德境内侦破的数起可疑案件中，包括：针对货物运输路线的纵火、海军舰艇缆线被切断、发动机中被投入金属碎屑、饮用水被污染。

国际战略研究所（IISS）2025年8月的报告指出，欧洲境内针对乌克兰支持相关目标的破坏事件从2022年的2起，增长到2023年的12起，再到2024年的34起——四年间增加了约17倍。

案例二：波罗的海海底电缆破坏

自2022年起，波罗的海已发生多起海底电缆和通信基础设施中断事件，多起至今仍在调查中，疑与俄”影子船队”相关。 其中2025年1月，芬兰法院维持了对”Eagle S”油轮的扣押决定，该船被怀疑参与了海底电缆破坏行动。

案例三：130人跨欧洲涉嫌网络

根据UATV发布的报道，截至2025年，已有约130人在欧洲12个国家被怀疑为俄方从事情报活动，大多数案例发生在波兰和波罗的海国家。

05

德国的公开反制——”别成为一次性棋子”

2025年9月，德国联邦刑事局（BKA）联合国内情报机构BfV、对外情报机构BND及军事情报机构MAD，罕见地发起了一场面向公众的情报反制宣传活动：”别成为一次性棋子”（Kein Wegwerf-Agent werden）。

这个活动的存在本身，就是一个信号：情报机关已经意识到，当敌方的招募管道变成了每个人口袋里的那部手机，传统的反情报手段（监控俄罗斯外交官、追踪专业情报官的行动轨迹）已经严重落后。

该活动具体告知公众：

通过社交媒体收到陌生人的金钱邀约，要求拍摄某处建筑或运送某件包裹——这是招募信号

“反宪法破坏”最高可判处五年有期徒刑；从事间谍活动最高十年

任何可疑接触应立即向BfV（宪法保卫局）举报

06

侦测这类行动的实操框架

这里我希望在这里给出一套可操作的分析框架，用于识别一起”看似普通刑事案”背后的国家级操控信号。

步骤一：异常特征过滤

在调查一起纵火、破坏、跟踪事件时，首先检查以下异常特征：

目标是否与乌克兰支援相关基础设施有关联？（军事后勤、军工仓库、运输节点）

涉案人员是否有加密货币收款记录？

案件是否在地理上呈现出”集群效应”——多国、多地点、同类型行动在短时间内集中出现？

步骤二：金融溯源优先

RUSI报告明确指出：资金是这种模式里最脆弱的连接点。加密货币看似匿名，但区块链的不可篡改性反而提供了溯源证据。关键技术路径：钱包聚类分析（Wallet Clustering）→ 交易所KYC数据传票 → 链上关联到已知俄方资金来源。

步骤三：寻找”中间枢纽”

链条最薄弱的环节不是被招募的一次性代理人，也不是GRU处理官，而是中间枢纽（facilitator）。

这类人通常有双重特征：一方面与加密货币洗钱、非法劳工中介等犯罪网络有联系；另一方面又在某种程度上与俄有机构关联。像Bezrukavyi这样的案例，就是从这个节点入手的。

步骤四：建立跨国案件关联

单独看，每个案子都是”小事”。但如果你把欧洲12个国家的”可疑破坏事件”放在同一张时间地图上，开始出现的模式就不是治安问题，而是协调行动的节拍。

这就是OSINT调查真正发挥作用的地方。

07

犯罪网络与情报机构的”共生关系”

最后一个值得深挖的结构性趋势：情报机构与犯罪网络之间的关系正在从”利用”走向”共生”。

根据CYFIRMA的研究以及工业安全机构的分析，这一模式在网络空间表现得最为明显——黑客组织可以为国家情报机构提供”合理否认”空间，而国家情报机构则为这些组织提供保护和行动协调。 但同样的逻辑正在向物理破坏领域蔓延。

这意味着未来反情报分析师需要同时追踪两个领域：传统地缘政治情报框架，以及有组织犯罪情报（OCE）框架。二者的融合，才是识别这类行动的完整视野。

情报世界的游戏规则变了：比的不是谁更神秘，而是谁能更快拼成全景图

是谁的无人机飞上了平壤的天空？——韩国情报院背后，一场情报决策的迷局

锂、镍、稀土背后，为什么站着外交官、军方和情报官？

五角大楼刚刚签了一份”永久保票”——让Palantir成为美军的AI大脑

世界上最古老的情报智库，刚刚被俄列为”不受欢迎组织”——揭秘RUSI，那个在白厅低调运转近两百年的大脑

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：情报分析师 001 001《为什么今天的情报机关越来越少亲自下场？因为廉价代理人更好用》