一个亲俄黑客最近的"炫耀",让很多搞安防的人彻夜难眠。他公开放话,说自己已经摸进了乌克兰各地街头、住宅和隐蔽角落的监控摄像头。
经过数月准备,他声称能够访问超过六千台行政、军事和市政设备。更让人后背发凉的是后半句——据其说法,这次行动让他能实时调取乌克兰各地区以及接触线附近的监控画面,还把乌军部署位置一个个标在了交互式地图上。
六千台摄像头,一张实时更新的军队部署地图。这已经不是科幻片里的桥段,而是正在东欧战场上发生的真事。
一台台原本只是用来看车位、防小偷的小设备,转眼间就成了对方手里的"千里眼"。这背后藏着的逻辑,值得每一个生活在摄像头密布城市里的中国人好好掂量。
把时间拨回这场暗战最具代表性的一幕。2024年初,基辅在导弹和无人机的轰鸣中熬过了一夜。
事后乌克兰安全局披露,俄罗斯情报机构在导弹来袭前,入侵了在线监控摄像头,窥探基辅的防空活动和关键设施,并远程控制了两台住宅摄像头来收集情报、锁定目标。最讽刺的细节在这里。
其中一台原本只是某住宅楼业主装在阳台上、用来看看周边和停车场的普通设备,黑客拿到远程权限后,篡改了设置、调整了拍摄角度,还把画面接到了YouTube直播上,把镜头范围里的一切都录了下来。一个看车位的摄像头,就这么变成了导弹的"瞄准镜"。
为什么一台几百块的民用设备能搅动国家级的军事较量?答案其实很朴素。
攻破一栋钢筋混凝土的工事很难,但攻破一个弱密码、一个没改过的默认远程通道,有时候轻而易举。
安防业内人士分析得很透彻:对侦察手段有限的一方来说,被劫持的摄像头画面尤其值钱——卫星没法一直盯着某个落点,从视频里快速拿数据反而成了最划算的办法,靠着大城市里那些固定摄像头,就能摸清防空部署和战术。
更阴险的是,盯着直播画面能数清拦截弹打出去多少发。观察同一个发射点的火箭发射次数,能暴露导弹防御系统的不少特性,甚至连弹药还剩多少都能推算出来。
等防空火力进入漫长的再装填空当,下一波打击就压了过来。换班节奏、车辆进出、设备检修——这些平时不起眼的"生活噪声",到了战时全成了对方的"打击时刻表"。
而这种隐患的规模,远比想象中可怕。早在冲突初期,网络空间测绘就发现了一个惊人的数字:乌克兰境内至少有21.6万个商用摄像头的配置页面暴露在互联网上,涉及6.7万多个IP地址。
这些设备里不少存在已知漏洞,有的甚至连登录验证都没有,输个IP就能直接看实时画面。一张遍布全国、随时可能漏底的"情报网",就这么悬在头顶。
很多人容易把这事理解成"某一方吃了亏",其实不然。摄像头之争从头到尾都是双向的拉锯,谁的手段管用,对方很快就学了去,再加倍用回来。
乌克兰这边一直在主动堵漏。乌安全局呼吁拥有监控摄像头的市民停止在线直播,并表示自2022年2月全面冲突爆发以来,已经封锁了大约一万台可能被用来刺探防御行动的在线摄像头。
一万台,这个数字本身就说明了问题的严重程度。俄罗斯那边同样心虚。
他们反过来警告本国边境居民别再用监控摄像头和约会软件,生怕被乌方情报盯上。攻防两边,谁都怕自己的"眼睛"被对方借走。
手法还在不断翻新,摄像头不够用,间谍就亲自上阵布点。
2024年9月,乌方逮捕了一名哈尔科夫居民,此人被俄军事情报局通过Telegram以"轻松赚钱"为诱饵招募,在基辅租下多处能俯瞰能源设施的高层公寓,装上带远程访问软件的摄像头,疑似帮俄方实时盯防关键基础设施。
到了2025年5月,更"土"的办法也冒了出来。乌安全局抓获了五名16到23岁的年轻人,他们把开着行车记录仪的汽车停在军事目标附近,任由它录上长达12小时,用来协助俄军引导导弹打击。
战火甚至顺着援助链延伸到了境外。2025年5月,多国网络安全机构联合发出预警,指与俄军情局相关、业内称为APT28的行动者,两年多来针对协助向乌克兰运送援助的物流和科技企业发动网络攻击。
英国政府披露的细节更直白:这支部队不光盯着西方和北约国家的物流商、科技公司和政府机构,还曾利用联网摄像头监控乌克兰边境的援助物资运输。援助走哪条路、车队什么时候过境、仓库吞吐多快,这些都被那一只只联网的"眼睛"看在了眼里。
从单个镜头到上千台设备的批量劫持,从精确制导到舆论标注,摄像头早就不是单纯的"录像硬件"了。它既是传感器,也是媒介,更是一件实打实的武器。
这场远在东欧的暗战,为什么会牵动中国?道理很简单——中国既是摄像头的应用大国,也是制造和出口大国。
城市治理、治安防控、交通管理、应急响应,无数场景都靠着这张"数字之眼"运转。摊子越大、联网越深,能被攻击的面也就越广。
一旦海量设备失管,后果不堪设想;而设备遍销全球,哪个地方出了事,舆论和监管的目光也容易投向供应链。但需要看到,中国并没有对风险视而不见,而是用扎扎实实的制度建设主动筑起了防线。
2025年1月13日,《公共安全视频图像信息系统管理条例》以国务院令第799号公布,自2025年4月1日起施行。这部法规盯的正是乱采、滥用、泄露和监管缺位这些老毛病。
条例里的硬规矩不少。它明确县级以上政府统筹规划建设公共场所的视频系统,禁止在旅馆客房、浴室、宿舍等隐私区域装设备,还要求视频图像信息保存期限不少于30日。
对安全的要求尤其关键,条例规定管理单位要履行网络安全、数据安全和个人信息保护义务,完善防攻击、防入侵、防病毒、防篡改、防泄露等技术措施,保障系统连续、稳定、安全运行。更见心思的是对涉密场景的考量。
针对军事禁区、军事管理区以及国家机关等涉密单位周边的图像采集设备,条例明确安装前应征得相关涉密单位的同意。这正是把"篱笆"扎在了最该扎牢的地方——别让基辅那种"住宅摄像头偷拍防空阵地"的悲剧,在自家门口重演。
法规之外,更得靠每个人的安全自觉。俄乌战场上的教训,对普通人有个"日常版"的对应:弱密码、随手开的远程访问、几年不更新的固件、把视频流直接挂在公网上。
普通人未必会撞上导弹,但很可能撞上偷窥、勒索、隐私泄露,甚至让自家摄像头被裹进僵尸网络。历史上拿海量物联网设备组网发动大规模攻击的案例早就证明,这类设备一旦被批量劫持,风险会从"个人隐私"一路升级成"公共安全"。
这也是为什么一些地方曾建议居民关掉家用摄像头的在线直播——家门口一个廉价镜头,说不定就无意拍到了敏感设施周边的动静。
说到底,真正决定这张"数字之眼"站在哪一边的,从来不是镜头的牌子,也不是装得多不多,而是有没有建起足够严的安全基线、足够能落地的运维机制,以及足够清醒的风险意识。
值得庆幸的是,中国大多数摄像头接入的是本地专网,外部入侵的难度本就不小,再叠加日益完善的法规和军民协同的防护机制,这套体系正越扎越牢。把篱笆扎紧,不是为了制造恐慌,而是为了让科技继续守护万家灯火,而不是在某个极端时刻,沦为别人手里的眼睛。
东欧战场用血淋淋的现实给全世界提了个醒:基础设施越联网,越要守得住底线。这记隔着山海传来的警钟,中国听清了,也正在认真应答。
热门跟贴