伊朗“内鬼”竟是路由器！美国科技巨头集体沉默，中国早有防备

有一种战争，不需要导弹破门，只需要路由器＂翻脸＂。

2026年4月14日，伊朗法尔斯通讯社曝出一则消息，直接把全球网络安全圈炸了锅。在美国对伊朗伊斯法罕省攻击期间，伊朗境内大量的美制通信设备同时脱机，或操作系统崩溃。出故障的通信设备全部来自美国的思科、飞塔和瞻博网络等品牌，或基于MikroTik RouterOS操作系统。

不是一台两台宕机，不是某个地区断网。是一个国家的网络神经在同一个瞬间被＂拔掉了电源＂。

伊朗认为，该现象更像一个预埋好的网络攻击。当时伊朗与国际互联网几乎完全阻断，但发生时间点又如此精确，显得＂来自境外的普通网络攻击＂猜测难以成立，更像是设备内部埋藏的深层破坏机制被触发。

注意这个逻辑——伊朗自己先把国际互联网掐了，相当于锁上了大门。可屋子里的东西照样被砸了个稀巴烂。那贼不是从外面进来的，贼就住在你家里。就藏在你每天打开的那台路由器里。

我说句实话，这种事在网络安全圈不算新鲜。但把它摊开到一场真实的国家级战争中、规模大到全国性瘫痪、而且涉事品牌个个是行业巨头——这才是真正让人后背发凉的地方。

法尔斯通讯社推测了几种可能的破坏方式，我觉得每种都值得咂摸。一是在设备的引导程序或固件层面存在＂后门＂，无需互联网即可通过定时触发或特定信号激活，从而使设备失效；二是通过内部网络或特定信号源发送特殊数据包，引发系统崩溃和连锁重启。还有一种可能是多年前就植入的恶意程序在特定条件下苏醒，以及最极端的一种——设备在出厂前就被动了手脚。

说白了，从卫星触发、定时引爆，到供应链投毒——美国的数字武器库，可选弹药比你想象的多得多。

有人可能会说，这是伊朗一面之词。我承认，目前德黑兰尚未公布被植入后门或恶意固件的技术证据，而冲突中的设备故障也可能源于电力不稳、物理损坏、配置错误或常规软件缺陷。但问题在于，美方的反应同样耐人寻味——美方并未回应伊朗的具体指控，但已公开确认对伊朗通信基础设施实施了网络行动。

这个态度很微妙。不否认伊朗的后门指控，也不解释到底做了什么，只承认＂我们动了手＂。搞过公关的人都懂，这种＂半承认半沉默＂的操作，往往比完全否认更耐人寻味。

至于那些涉事的科技巨头呢？思科、飞塔、瞻博——一个都没吭声。

这种集体沉默本身就是一种表态。你想想，如果一家公司的产品被指控在战争中充当了＂武器＂，正常的反应应该是跳出来撇清关系、发公告、做技术声明。但它们什么都没干。为什么？因为在美国的法律和行政框架下，这些公司与情报机构之间的关系，远比你在官网上看到的＂使命宣言＂复杂得多。

历史上有据可查的＂前科＂足够多了。

2014年斯诺登泄露的NSA文件显示，该机构的＂定制入侵行动＂部门曾在运输途中拦截思科路由器，植入监控装置后重新包装发货。思科后来自己也做了改变，但思科从未配合过该项目，并在事后开始将设备寄往虚假地址以阻止拦截。这说明什么？说明NSA连自己国家的企业都＂偷摸动手＂，企业知道后不得不用＂寄快递到假地址＂这种荒诞手段来自保。

再看瞻博网络。2015年，瞻博网络披露在其ScreenOS防火墙固件中发现了未经授权的代码，攻击者可以绕过身份验证并解密VPN流量。这个事件当年震动了整个安全行业，VPN问题与使用NSA推进的Dual EC DRBG加密算法有关，该算法被广泛认为包含由NSA植入的后门。

美国国会议员甚至公开给NSA写信追问，信中写道，＂你们公司已经宣布调查四年多了，至今没有公布任何发现＂，美国民众＂至今不知道瞻博为何在产品中悄悄加入了NSA设计的、很可能带后门的加密算法＂。

飞塔也没干净。飞塔在2016年承认，老版本FortiOS中包含硬编码的SSH密码，可被用于远程访问，尽管公司将其定性为＂管理认证问题＂。硬编码密码——这话翻译一下就是：门锁出厂时就带了一把万能钥匙，任何拿到这把钥匙的人都能进门。

看到这里你就明白了，伊朗的遭遇不是什么黑天鹅事件，而是一根埋了十几年的引线被点着了。

安全研究机构分析指出，此次网络攻击取得了显著战果：在战术层面有效配合空袭行动，实现对伊朗指挥链的＂斩首式瘫痪＂；在战略层面，展示了美以联盟在网络空间拥有与物理战争同等烈度的攻击能力。这不再是传统意义上的＂辅助作战＂了，网络行动已经从＂侧翼支援＂变成了＂第一枪＂。

美军参联会主席丹·凯恩在3月2日的五角大楼新闻发布会上明确表示，美国网络司令部和太空司令部是＂史诗狂怒＂行动的＂先手棋＂。人家自己承认了——网络战先打，炸弹后到。

这个逻辑意味着什么？意味着在现代战争中，你用谁的路由器、谁的防火墙，就等于把＂先手权＂交到了谁手里。设备供应商不再是单纯的＂服务商＂，它变成了战争时潜伏在你体内的一颗＂数字炸弹＂。

有人觉得这都是中东的故事，离中国远。真远吗？

2025年10月19日，国家安全机关破获一起美国重大网络攻击案，掌握美国国家安全局网络攻击入侵中国国家授时中心的铁证。授时中心是什么？就是＂北京时间＂的源头，是金融交易、电力调度、通信同步、北斗导航等整个国家数字基础设施的＂心脏起搏器＂。

从2022年3月起，NSA利用某境外品牌手机短信服务漏洞，秘密监控10余名授时中心工作人员，窃取手机通讯录、短信、位置信息等数据。2023年4月起，攻击者利用窃取的登录凭证多次入侵授时中心计算机。2023年8月至2024年6月，NSA部署新型网络作战平台，对授时中心多个内部业务系统实施渗透，并企图向高精度地基授时导航系统等重大科技基础设施发动攻击。

整个攻击从布局到渗透持续了两年多，被评估为＂历时两年多的国家级攻击，直指国家时间主权核心＂。攻击手段之精细、持续时间之长、目标之精准，跟伊朗遭遇的路由器＂叛变＂如出一辙——都是提前布局，长期潜伏，关键时刻引爆。

区别在于，中国扛住了。NSA的攻击链路被斩断了。

为什么扛得住？不是运气，是因为这条路中国走了很多年。

中国外交部明确表示：中方对美政府网络攻击入侵中国关键基础设施、为未来大范围的破坏行动实施网络预置表示强烈谴责。但谴责归谴责，更重要的是手里有没有牌。

中国手里有牌。

这张牌叫＂信创＂——信息技术应用创新。＂棱镜门＂事件后，国家将信创纳入＂网络强国＂战略，加速推进核心电子器件、高端通用芯片、基础软件产品等重大专项落地。这不是拍脑袋的应急之举，是从2013年开始一步步磨出来的战略工程。

2023年9月底下发的79号文明确要求到2027年央企国企100%完成信创替代，涵盖芯片、基础软件、操作系统、中间件等关键领域。从＂要替＂到＂全替＂，从党政机关到金融电信能源交通——这是一张写了精确时间表的路线图。

在基础硬件领域，国产CPU如飞腾、鲲鹏、兆芯、海光等逐渐崭露头角；在基础软件方面，麒麟操作系统连续多年占据中国Linux市场占有率第一，能全面支持多款主流国产CPU。

有人总爱问：国产的好用吗？

这个问题我得翻过来回答——＂好用＂和＂安全＂是两件事，而在关系国家命脉的领域，＂安全＂永远排第一。一台外国路由器性能跑分再高，如果它的固件里藏着一个等待卫星信号唤醒的＂数字炸弹＂，跑分就是个笑话。这不是我危言耸听，伊朗刚刚用全国断网的代价验证了这个道理。

当然，说国产技术＂只求安全不求好用＂也过时了。国产化技术路线快速发展，终端产品基本都已达到安全可控标准，信创产业正从＂安全可用＂向＂好用易用＂迈进。龙芯完成自主架构研发、海光开辟C86国产化路线、鸿蒙生态不断壮大——当年被嘲笑＂造不如买＂的领域，今天一个个在交成绩单。

我特别想说的一点是，伊朗事件暴露出的最根本问题，不只是＂有没有后门＂，而是＂你看不看得见后门＂。你用别人的芯片，别人的固件，别人的操作系统——你连审查代码的资格都没有。就像住在别人造的房子里，墙后面有没有摄像头，你永远不知道。除非你自己造房子。

法尔斯通讯社在报道最后写了一句话，我认为说到了点子上：＂真正的网络安全必须建立在自主技术能力之上。如果无法自主研发路由器、交换机及其操作系统，在隐蔽的网络对抗中将始终处于被动地位。＂

这话伊朗人说出来，有一种事后恍然大悟的痛感。但对中国来说，这早就不是＂悟不悟＂的问题，而是＂做到了多少＂的问题。

从北斗替代GPS、到鸿蒙打破移动操作系统垄断、到信创体系覆盖党政金融电信能源——中国花了二十多年时间，一块砖一块砖地垒起了自己的＂数字城墙＂。这堵墙谈不上完美，也谈不上完工，但它意味着——当有一天谁想对中国复制伊朗式的＂数字斩首＂时，他面对的不再是一扇用别人钥匙就能打开的门。

铁的事实证明，美国才是真正的＂黑客帝国＂，是网络空间的最大乱源。但认清事实只是第一步，更重要的是——你有没有能力让自己不成为下一个受害者。

伊朗用全国断网换来了一个清醒的教训。中国用二十年的积累，把这个教训变成了行动。

两种选择，两种结果。这大概就是＂未雨绸缪＂和＂亡羊补牢＂的真正差距。