2026.06.05 / 16:31
根据目前泄露的积至公司文件,他们将已上线的新疆省级防火墙视为中国国家防火墙的重要组成部分,并希望将新疆省级防火墙打造成"反恐先头兵",“尤其在翻墙打击中发挥作用”,使新疆成为省级防火墙建设的样板,“可复制、可借鉴。”
#方滨兴 #防火墙 #积至公司 #新疆防火墙
2026年5月24日,酒泉卫星发射中心,人们挥舞着国旗为神舟二十三号载人航天任务航天员送行。 美联社 图
中国对异见人士的处置,正从"事后追惩"转向"事前预判"。被称为"中国防火墙之父"的方滨兴及其创办的积至(海南)信息技术有限公司,正在打造一套基于人工智能的新一代监控系统,它不再只是记录国民已经说了什么、做了什么,而是试图在一个人公开表达异议之前,就预先研判其"危险性"。根据响亮新闻看到的泄露文件,这套系统很可能已在中国新疆先行落地。
当局会为其认定的"重点人员"建立个人画像,汇集其在网络上的几乎全部行为,归纳其生活规律与社会关系,进而预判其下一步可能做什么、在哪里做、又会与谁一起做。简而言之,研判被前置,在"威胁"尚未显形之前,目标就已被事先锁定。
而为这套系统提供技术支撑的方滨兴,是中国工程院院士、北京邮电大学原校长、中科院信息工程研究所网络信息内容安全技术国家工程实验室主任。具体负责这套监控系统研发、部署的积至公司,核心团队多来自方滨兴门下。
积至(海南)信息技术有限公司对公司创始人、首席科学家方滨兴的介绍,强调其"防火墙之父"身份。 积至公司泄露文件 截图
【为何重要】
中国多年来一直追求实现这种"预判式"的全民监控系统,但真正的瓶颈不是数据不够,而是监控人员无力从海量数据中分析、研判出有用的线索。人工智能时代的到来,刚好补上这块短板。
美国范德堡大学国家安全研究所棘手问题实验室(Wicked Problems Lab)主任布雷特·戈德斯坦(Brett Goldstein)直言,这正是大规模监控与人工智能结合后会发生的事。该实验室发布的报告认为,当二者结合,触发国家出手的,将不再是公民做过什么,而是国家相信他未来会做什么。这套系统在中国究竟已被用到何种程度尚不清楚,但技术一旦成熟,将成为威权政府对付假想敌的利器。
这种"在事情发生前就动手"的逻辑,让人想起2002年汤姆·克鲁斯主演的电影《少数派报告》(Minority Report)。在影片中,政府能预知谁将犯罪,而警察会在违法行为发生前就逮捕这些人。
【最新进展】
关于这一新型监控系统的最新研究来自美国范德堡大学的布雷特·戈德斯坦(Brett Goldstein)和布雷特·本森(Brett Benson)在5月发布的一份报告。
两位学者在报告中表示,经过对一批于2025年9月泄露的积至公司相关文件分析后发现,在2024年的前几个月,该公司的研究人员正致力于开发一套通过人工智能大语言模型分析个体用户海量互联网数据的工具,这些用户数据包括浏览记录、社会关系、位置记录等。该公司员工在文件中讨论了如何实时、大规模地将用户的实体移动轨迹与其线上活动关联起来。
报告指出,这套分析工具的目标是为被政府认定为"有害"的个人建立行为画像,不仅是为了弄清目标已经做了什么,更是为了预判他们接下来可能做什么、又会与谁一起做。在这样的系统中,一个人的所有日常活动,包括他去了哪里、见了谁、读过什么书、说过什么话,都可能成为算法判断其有无政治风险的参数。
纽约时报报道称,根据2024年2月5日某次会议的纪要,研究人员讨论了如何建立人员档案以"识别其意图"并"实现对有害信息的发现"。
该报告还指出,中国在建设这套监控工具时有赖于美国的人工智能芯片。来自积至公司的文件显示,2024年,当美国对中国实施严厉的芯片出口管制时,该公司及其实验室很难为监控技术找到足够的算力。报告撰写者之一的布雷特·本森告诉纽约时报,由于美国的出口管制,该公司不得不使用较旧、性能较低的人工智能模型和芯片。
【积至公司】
上述报告分析的原始素材是2025年9月11日被公布在黑客平台"Enlace Hacktivista"上的一批关于积至公司的庞大资料。这批资料的体量总计超过500GB,包含工作日志、内部通讯和员工个人文件等。这是中国防火墙(Great Firewall,也被称为防火长城)有史以来最大规模的内部文件泄露事件。
积至公司于2018年注册在中国海南省,同年在北京设立研发和运营中心,创始人兼首席科学家是中国工程院院士、网络与信息安全专家方滨兴。公司核心团队来自中科院、哈尔滨工业大学和北京邮电大学,均为方滨兴嫡系。这批泄露资料中除了包含积至公司大量文件外,还有来自中科院信息工程研究所的网络空间主权保障技术研究实验室(MESA)的大量内容(该实验室原为信工所相关工程研究中心下属的"处理架构组",2020年单独成立实验室)。该实验室的研究人员和业务与积至公司都高度重合,据其自我介绍,主要研究方向为网络空间测绘,其中重要分支就是人物画像测绘。
积至公司主要业务是向国内外客户出售一款名为天狗安全网关(TSG)的商用防火墙,公司自称是"基于机器学习的下一代防火墙"。根据网络安全机构"InterSecLab"对上述泄露文件的分析报告,天狗安全网关的功能非常强大,通过安装于电信数据中心内部,整个地区的所有网络流量都要从它面前通过,它扮演"关卡+检查站+拦截闸"三重角色,既可以对所有传输内容进行监控与审查,也能识别并封锁VPN及各种翻墙工具,还可以对特定用户实施限速或断网,甚至能用恶意软件感染用户。
积至公司的另一款核心产品名为"网络叙事者"(Cyber Narrator)。这是一款可视化操作界面,用于展示天狗安全网关的实时监控数据。泄露的截图显示,用户可以通过"网络叙事者"直接查看每位互联网用户使用App的情况、是否使用VPN以及准确地理位置。根据响亮新闻看到的一张演示用操作界面显示,“网络叙事者"可以将手机信号基站信息与城市地图相结合,对选定对象持续监控、随时调取其移动轨迹。在一张使用上海市地图用于演示的界面上,被监控对象的身份标注为"Terrorist Leader”(恐怖分子头目)。
从泄露文件还可以发现,除新疆、福建和江苏等中国地方政府外,积至公司的主要客户是"一带一路"国家政府,包括哈萨克斯坦、埃塞俄比亚、巴基斯坦和缅甸等国。"InterSecLab"分析称,积至公司在缅甸的一张控制面板显示,该系统在该国正同时监控8100万个互联网连接。
一张"网络叙事者"的演示操作界面显示,该工具可以将城市手机信号基站信息与城市地图相结合,对选定对象持续监控、随时调取其移动轨迹。在这张使用上海市地图的演示界面上,被监控对象的身份标注为"Terrorist Leader"(恐怖分子头目),不同颜色的六边形代表该区块的用户数量。 积至公司泄露文件 截图
【新疆项目】
经过对上述泄露文件的分析,响亮新闻发现,范德堡大学研究人员在报告中提及的针对特定对象的个人画像分析功能很可能已经在中国新疆正式投入使用。不过根据相关功能描述,新疆是否已经利用人工智能来预测特定人员的潜在风险,还暂时无法判断。但相关文件明确提及,积至公司为新疆布置的省级防火墙的主要功能之一,就是为重点人员建立用户画像并进行分析。
在积至公司一份名为《CBNR-J24需求整理》的文档中,记录了新疆方面向该公司就其产品提出的最新功能需求,其中就包含为重点人员建立个人档案、对相关人员进行行为习惯等属性分析,以及对特定群体使用翻墙软件、频繁更换手机SIM卡等行为的预警功能。 积至公司泄露文件 截图
根据多份泄露文件,“J24"是积至公司新疆项目的代号。一份在2024年8月创建的名为《CBNR-J24需求整理》的文档显示,新疆方面向积至公司技术团队提出需求,希望该公司在产品中能新增以下功能:如对重点人员的解析数据"以手机三码特征(MSISDN、IMSI及IMEI)为维度进行关联,提取用户基本信息并建档”,“支持对用户上网行为习惯、生活规律、关联关系等方面进行归纳分析”,支持"判定特定群体用户社会关系情况,构建关系图谱,提供特定群体关系网络查询功能"。
从这份泄露文件中可以看出,新疆方面对重点人员的某些特定行为非常关心,提出希望积至公司在软件面板中增加对应监控功能,如"支持异常通话行为检测、境外社交应用、翻墙代理检测、特定通联次数频繁、通联区域集中异常行为检测、重点人员进入重点区域告警、重点区域用户密度异常告警、特定群体异常聚集告警、特定群体伴随行为告警、特定群体出疆入疆告警、手机频繁换卡行为检测"。
根据另外一份创建于2024年7月的MESA实验室与新疆方面人员沟通的发言纪要,他们将积至公司已经应用于新疆产品称为"新疆省级防火墙",并视其为中国国家防火墙的重要组成部分。他们希望将新疆省级防火墙打造成"反恐先头兵",“尤其在翻墙打击中发挥作用”,“成为省级能力的示范”。这份发言纪要还提及,中国的国家防火墙要从集中式向分布式演进,通过新疆防火墙的区域分析工作,形成国家防火墙的"防御纵深",使国家防火墙有回旋余地,使新疆成为省级防火墙建设的样板,“可复制、可借鉴。”
由于上述所有资料都记录于2024年,目前新疆省级防火墙的建设情况究竟如何?响亮新闻无法判断。积至公司的研发人员是否已经把《需求整理》文档中的功能全部落地?同样无法确定。但新疆历来被视为中国监控最严密的地区之一,有一种说法是中国会在新疆先行实验各种新型监控工具,然后再用于全国其他人群。这批积至公司的泄露文件某种程度上证实了这一说法。现在能够确定的是,如果积至公司这套"省级防火墙"在新疆试点成功后真的在中国各省推广,那么普通中国人未来不仅"翻墙"上网会变得愈发困难,而且每个人都有可能成为被"建档"分析的对象。
【如何画像】
对这批泄露文件中来自中科院MESA实验室的大量技术文件进行分析后,响亮新闻还发现,该实验室至少从2021年便开始系统性地研究网络空间测绘学科中的"用户画像"技术,并且明确包含"预测功能"。根据定义,网络空间用户画像是指对网络空间中用户的属性、社交关系、网络行为、位置轨迹等维度进行全息刻画的过程,核心关键技术包括用户属性提取和预测、社交关系分析、用户行为建模、轨迹分析和预测等。
在一份名为《网络空间测绘——前沿进展及展望》的技术分享文件中,现任中科院信息工程研究所所长郭莉介绍了"用户画像"的定义和测绘方法。 积至公司泄露文件 截图
要想做"用户画像",首先需要对"用户属性"进行提取。根据一份来自MESA实验室的创建于2021年的技术分享文件,系统会从用户在互联网上的多个网站和App的注册信息和发布内容中提取并"预测"其姓名、年龄、职业等基本属性,再结合社交关系分析、用户行为分析和时空轨迹追踪等手段,最终完成"全息刻画"。值得注意的是,这份技术分享文件的署名报告人郭莉,正是现任中科院信息工程研究所所长、党委副书记。
在一份名为《网络空间测绘与安全应用》的技术分享文件中,积至公司实验室主任刘庆云进一步分享了用户画像测绘技术的最新进展,"对其中的有害行为进行识别"后,监测对象会被一个"信誉评价体系"打分。 积至公司泄露文件 截图
根据另一份创建时间较新的技术分享文件,在刻画用户行为的同时,系统还会"对其中的有害行为进行识别",并据此"构建信誉评价体系",实现基于访问行为的用户画像。也就是说,每个被监测对象都会被打上一个反映其"信誉"的评价,而判定的依据之一,正是其行为是否被认定为"有害"。这份创建于2024年的技术分享报告的署名人刘庆云,正是积至公司目前的实验室主任,公司对他的介绍是:“博士生导师,国家863计划、242信息安全项目及工信部多项国家重大信息安全科研项目负责人。”
在另一份技术分享文件中,一名MESA实验室的研究人员分享了他们眼中一幅绘制完成的"用户画像"的样子,可以看出其主要包含基本属性、社会属性、业务属性和行为模式四块内容。 积至公司泄露文件 截图
【更多背景】
在分析关于积至公司和MESA实验室庞大的泄露文件过程中,响亮新闻还偶然发现,隶属于中科院信工所的MESA实验室在科研过程中确实正在使用来自美国英伟达公司的人工智能芯片。而鉴于该实验室与积至公司的紧密关系,这些使用英伟达芯片完成的科研成果,有很大可能已经应用于新疆的监控系统之中。
根据一份创建于2024年3月名为《服务器使用规范》的文档,该实验室至少有3颗英伟达Nvidia A100芯片。由于资源紧张,实验室还提醒使用英伟达芯片的同学们"尽量以单卡模式使用GPU"。需要注意的是,这份文件只能证明该实验室名为"Meshtrust-A100"的这台服务器装有3颗A100芯片,该实验室是否还有其他服务器和其他英伟达芯片,响亮新闻无法确定。
根据一份名为《服务器使用规范》的文档,中科院信工所MESA实验室正在使用英伟达A100芯片进行相关科研工作。 积至公司泄露文件 截图