馬斯克領(lǐng)導(dǎo)的政府效率部（DOGE）正在美國(guó)政壇掀起一場(chǎng)“整改風(fēng)暴”，但其官方網(wǎng)站doge.gov（以及近期上線的DEI.gov和Waste.gov網(wǎng)站）卻接連爆出低級(jí)安全漏洞，doge.gov網(wǎng)站在上線僅兩天后即被黑客“偷家”，甚至篡改了政府網(wǎng)站信息。新上線的兩個(gè)政府網(wǎng)站DEI.gov和Waste.gov也發(fā)生數(shù)據(jù)泄漏。這一系列事件迅速淪為全球網(wǎng)絡(luò)安全社區(qū)的笑柄。

doge.gov裸數(shù)據(jù)庫(kù)裸奔，任何人都可發(fā)布信息

doge.gov的上線初衷是為了提高政府改革的透明度，實(shí)時(shí)發(fā)布DOGE的裁員和重組措施。然而，網(wǎng)站匆忙上線后，有黑客發(fā)現(xiàn)其數(shù)據(jù)庫(kù)完全開放，任何人都能添加或修改數(shù)據(jù)。404 Media記者調(diào)查發(fā)現(xiàn)，該網(wǎng)站基于Cloudflare Pages搭建，代碼可能通過GitHub等渠道部署，并未托管于政府服務(wù)器。

更為嚴(yán)重的是，網(wǎng)站數(shù)據(jù)庫(kù)的API端點(diǎn)暴露在外部，任何人都可以對(duì)其進(jìn)行讀寫操作。有開發(fā)者在深入研究該網(wǎng)站架構(gòu)后，成功向其數(shù)據(jù)庫(kù)添加了“this is a joke of a .gov site”（這個(gè)政府網(wǎng)站就是個(gè)笑話）和“THESE 'EXPERTS' LEFT THEIR DATABASE OPEN -roro”（這些所謂的專家居然讓數(shù)據(jù)庫(kù)裸奔）等內(nèi)容，這些信息直接顯示在了網(wǎng)站的實(shí)時(shí)頁(yè)面上：

如此低級(jí)明顯的安全漏洞，反映出doge.gov在開發(fā)和部署過程中缺乏基本的安全審查和測(cè)試。這不僅使網(wǎng)站本身面臨被篡改的風(fēng)險(xiǎn)，更可能導(dǎo)致敏感政府?dāng)?shù)據(jù)的泄露。在一個(gè)強(qiáng)調(diào)透明度的政府部門，其官方網(wǎng)站卻如此輕率地處理安全問題，令人質(zhì)疑其對(duì)網(wǎng)絡(luò)安全的重視程度。

泄漏多個(gè)政府部門敏感任務(wù)清單

德國(guó)研究人員Henrik Sch?nemann設(shè)置了一個(gè)變化檢測(cè)應(yīng)用程序，用于監(jiān)測(cè)數(shù)百個(gè)政府網(wǎng)站，結(jié)果發(fā)現(xiàn)近日上線的DEI.gov和Waste.gov的管理員在設(shè)置Wordpress模版時(shí)意外暴露了包括USAID、NASA、退伍軍人事務(wù)部、勞工部等機(jī)構(gòu)和部門的項(xiàng)目/預(yù)算清單，雖然暴露時(shí)間只有30分鐘，但還是被安全人員截獲，并在安全社區(qū)分享了截圖：

清單中涉及一些敏感任務(wù)，例如：

• 向馬來西亞毒品驅(qū)動(dòng)的同性交友應(yīng)用資助340萬(wàn)美元
• 向與基地組織有關(guān)的努斯拉陣線提供1000萬(wàn)份餐食
• 向斯里蘭卡記者提供790萬(wàn)美元用于“避免使用二元性別語(yǔ)言”項(xiàng)目
• NASA撥款1000萬(wàn)美元用于推動(dòng)DEI和“環(huán)境正義”
• 資助印度的“酷兒”穆斯林作家

曝光清單信息尚未證實(shí)真?zhèn)危邪踩珜＜抑赋霾慌懦糠謨?nèi)容是馬斯克DOGE團(tuán)隊(duì)使用人工智能時(shí)產(chǎn)生的“機(jī)器幻覺”。

DOGE雇員的權(quán)限管理漏洞：潛在的內(nèi)部威脅

除了官方網(wǎng)站的安全漏洞，DOGE內(nèi)部的人事安排也引發(fā)了外界的擔(dān)憂。DOGE采取了一種激進(jìn)的人事策略，雇傭了一批年輕、未經(jīng)充分背景審查的程序員，他們甚至能夠訪問財(cái)政部等政府機(jī)構(gòu)的核心系統(tǒng)和敏感數(shù)據(jù)。這種做法的風(fēng)險(xiǎn)在于：

• 缺乏安全培訓(xùn)：部分DOGE雇員可能不了解政府網(wǎng)絡(luò)的安全規(guī)范，容易因操作失誤導(dǎo)致信息泄露。
• 權(quán)限管理不善：未經(jīng)授權(quán)的人員可能訪問或修改敏感數(shù)據(jù)，甚至有意無(wú)意地泄露國(guó)家機(jī)密。
• 潛在的社會(huì)工程攻擊：年輕雇員的網(wǎng)絡(luò)安全意識(shí)相對(duì)較低，更容易成為黑客的攻擊目標(biāo)。

在網(wǎng)絡(luò)安全領(lǐng)域，內(nèi)部人員的威脅往往比外部攻擊更難防范。未經(jīng)充分審查和培訓(xùn)的人員，可能由于無(wú)意的操作失誤或缺乏安全意識(shí)，導(dǎo)致敏感信息的泄露。更有甚者，如果這些人員心懷不軌，利用其職務(wù)之便獲取或篡改重要數(shù)據(jù)，后果將不堪設(shè)想。因此，DOGE在推進(jìn)政治改革的同時(shí)，必須加強(qiáng)對(duì)內(nèi)部人員的管理，確保所有接觸敏感信息的員工都經(jīng)過嚴(yán)格的審查和培訓(xùn)。

政府機(jī)構(gòu)改革中的網(wǎng)絡(luò)安全挑戰(zhàn)

doge.gov事件只是DOGE在推進(jìn)政府機(jī)構(gòu)改革過程中暴露出的眾多網(wǎng)絡(luò)安全問題之一。在特朗普“去監(jiān)管化”的網(wǎng)絡(luò)安全策略支持下，DOGE大刀闊斧地進(jìn)行政府機(jī)構(gòu)改革、裁撤冗余部門和預(yù)算的同時(shí)，需要面對(duì)以下網(wǎng)絡(luò)安全挑戰(zhàn)：

• 數(shù)據(jù)遷移與整合的安全性：在機(jī)構(gòu)調(diào)整過程中，涉及大量數(shù)據(jù)的遷移和整合。如果缺乏完善的安全策略和措施，可能導(dǎo)致數(shù)據(jù)在傳輸過程中被截獲或篡改。
• 第三方服務(wù)的安全風(fēng)險(xiǎn)：如同doge.gov使用Cloudflare Pages托管一樣，政府部門在引入第三方服務(wù)時(shí)，必須確保這些服務(wù)符合政府的安全標(biāo)準(zhǔn)。否則，可能引入新的安全漏洞。
• 快速部署與安全審查的平衡：在追求效率的同時(shí)，必須確保所有系統(tǒng)和應(yīng)用在上線前經(jīng)過嚴(yán)格的安全測(cè)試和審查。倉(cāng)促上線可能帶來無(wú)法預(yù)料的安全隱患。
• 內(nèi)部人員的權(quán)限管理：確保所有接觸敏感信息的人員都經(jīng)過背景審查和安全培訓(xùn)，并對(duì)其訪問權(quán)限進(jìn)行嚴(yán)格控制，防止內(nèi)部數(shù)據(jù)泄露。

doge.gov事件不僅是一個(gè)個(gè)例，而是整個(gè)聯(lián)邦政府IT安全架構(gòu)面臨危機(jī)的縮影。傳統(tǒng)政府機(jī)構(gòu)在安全管理上具有嚴(yán)格的準(zhǔn)入機(jī)制和標(biāo)準(zhǔn)化的安全策略，但DOGE以“敏捷開發(fā)”和“效率至上”的名義，繞開了許多標(biāo)準(zhǔn)流程，從而導(dǎo)致漏洞頻發(fā)。DOGE的改革無(wú)疑給美國(guó)政府帶來了前所未有的變革，但改革的成功不能以犧牲網(wǎng)絡(luò)安全為代價(jià)。如何在效率與安全之間找到平衡，將成為未來美國(guó)政府改革的重要挑戰(zhàn)。