美军入侵委内瑞拉背后的网络作业能力频谱猜测与关联分析
时间:2026年01月06日 作者:安天研究院T
背景
当地时间2026年1月3日凌晨,美军入侵委内瑞拉首都加拉加斯,打击多个目标,强行控制委内瑞拉马杜罗总统夫妇并移送到美国境内。汇聚各方信源,此次行动美国从全球范围内调动了大量空中力量(约150架战机),包括预警机、轰炸机、战斗机、电子战飞机、直升机和无人机等,由“三角洲”特种部队负责地面行动[1]。目前关于行动的细节,目前可证信息是有限的。特别是涉及其中网络情报与攻防,目前只有“短语级别”的可以参考信息。网络上已经流传着多份超级详细的过程梳理,其中也包括关于网络活动和情报分析的细节部分,基本都是AI聚合的产物,虽然构成了一定的参考信息关联,但也有很多的幻觉、干扰和误导。因此,安天战略情报中心和安天安全研究与应急处理中心(安天CERT)尝试基于我们对于相关行为体的历史研究,从对应行为体的行为范式出发,基于能力体系评估和推断进行相对谨慎的分析。
图1 美国在加勒比地区的军事集结[2]
(图源:美国外交关系委员会,安天译)
图2 美国海军常见编队
(图源:美国外交关系委员会,安天译)
目前相对可证美方消息,来自美国总统特朗普1月3日在海湖庄园举行的新闻发布会上的暗示,“由于我们某种专业技术,所以使加拉加斯陷入停电状态”。目前,全球多数倾向猜测为,特朗普所指的“专业技术”是“网络攻击”。同时,美国参联会主席丹·凯恩也证实了美网络司令部参与了行动。其他相关消息来自互联网网络追踪组织NetBlocks的报告和猜测,其基于委内瑞拉部分的网络中断作为了停电事件的佐证,但并不能证实停电是网络攻击所致,而区域性网络中断则是停电的后果。正因如此,只能基于美方针对拉美的历史活动、美方网络军事行动范式、能力体系等,就本次事件美方在网空域的活动进行推演型猜测,并分析其网空作业和物理作战的效能叠加。但我们也想指出,基于网空行动的高度不可见性和非对称性,对于技术层面的感知能力所不能到达的地缘位置,基于网空行为体能力评估和范式推演,才应该是分析工作的主体。
基于这些分析我们认为:
从战术层面:网络空间层面的情报获取(CE),在美方在本次行动中,构成重要的(但未必是决定性的)情报层次,并在情报汇聚分析中扮演重要的交叉验证作用。网络攻击(CA)有可能扮演了阶段性切断电力供应的角色,从而为美方军事行动隐蔽性提供了最大化安全掩护。不排除美方在本次行动中进行了基于网络攻击让对手防空武器系统失效能力的尝试。
从战略层面:本次行动是叠加在必然性中的突发事件,是美国“防御性战略收缩(张文木先生语)”趋势下的新门罗主义产物。
一、美国针对拉美国家的历史网络攻击活动与相关报道
情报能力一直支撑美国霸权的基石,而美国针对全球的网络入侵、监听是美国情报能力的重要组成部分。而对于其视为“后院”的拉美国家,更是其情报作业的重点。对南美国家进行网络攻击的各种信息和报道十分丰富,但由于拉美国家普遍缺少强有力的网络安全能力,缺少独立自主的产业,缺少技术层面“抓住美方情报机构的手”的技术能力,因此大量信息报道停留在猜测和恐惧层面。
这些历史信息中较为关注的正是针对能源基础设施,以及政要个人的攻击指控,被指控或报道的主要事件包括2014年厄瓜多尔总统科雷亚声称个人账户遭攻击,攻击来自美国服务器;2019年3月委内瑞拉全国范围大规模停电,委内瑞拉指控美国发起的网络攻击;2019年6月阿根廷、乌拉圭等南美多国发生大规模停电;以及此次行动之前2025年12月15日,委内瑞拉国有石油公司(PDVSA)通报遭遇了一起旨在中断其运营的“网络攻击”[3],声明强调攻击仅针对行政系统,前美国官员和网络安全专家分析认为攻击带有美国网络司令部行动的特征。其中针对2019年3月的委内瑞拉停电事件,安天曾与国内电力企业组建联合分析组展开分析,曾发布报告《委内瑞拉大规模停电事件的初步分析与思考启示》[4]较为完整地分析了委内瑞拉的电力体系,排查了各种可能性,整体认为美方有相关动机和能力,但对于其是否直接发动网络攻击,缺少证据支撑。
而关于美方对拉美网络攻击最具实证性的信息,源自美方自身的情报泄露。在“影子经纪人”所泄露的情报中,美方情报机构NSA为了获取金融情报,曾经对拉美金融基础设施进行攻击,这个目标是金融机构EastNets在拉美的重要合作伙伴BCG(Business Computer Group),其所在位置正是在委内瑞拉和巴拿马,根据文档显示美方情报机构NSA使用了“SECONDDATE”[5](中文名“二次约会”)和“IRONVIPER”(中文名“铁蝰蛇”)。前者是一种主要部署在目标网络边界设备,如:网关、防火墙、边界路由器等,隐蔽监控网络流量,并根据需要精准选择特定网络会话进行重定向、劫持、篡改的后门。对后者,安天CERT目前仅知道其装备代号,但未获取到实体文件和相关信息,推测可能是类似“SECONDDATE”的前端针对边界设备的后门或流量转发器,或者是与“COTTONMOUTH”(中文名“水蝮蛇”)类似的某种端口注入或摆渡设备。依托相关装备,美方开展前端攻击,基于网络拓扑实现逐层递进的突防/流量转发,计划最终抵达SAA服务器获取信息,但可能由于某种原因相关攻击没有取得进展。而在同一个攻击波次中,美方对EastNets本部(位于阿联酋)的攻击反而获得了成功,安天CERT曾经在报告《“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告》[6]进行了详细的分析。而将两个目标场景的行动结果进行对比,也有效说明,即使美方拥有并滥用了其产业上游和支配力优势的背景下,其针对高价值纵深目标的攻击依然是需要“撬门别锁”的行动过程的,其也并非是“无所不能的”。
图3 “影子经纪人”泄露的美情报机构对委内瑞拉和巴拿马BCG的网空行动计划
除网络空间攻击外,在情报信号领域美国也被证实对拉美地区进行长时间的监听监视,一份来自2024年7月巴西媒体的报道[7],揭露了美国政府对巴西总统卢拉及其顾问进行了长达50年的监视,并指出美方还入侵了巴西石油公司的网络。多达800多份来自美国政府部门的资料显示,美国政府半个多世纪以来一直对卢拉进行监视,还包括巴西的军事计划和有关巴西石油生产的信息。美国对拉美的大规模监控活动,是其长期将拉美视为“后院”的“门罗主义”霸权思维的体现,为了获取政治、军事、经济和外交优势,维护其霸权地位。
二、CE+CA,美方网络作业的范式
由于网络攻击具有定向性的特点,且网络攻击武器往往处于“曝光即失效”的状态,因此在情报级和信息战级别对网络攻击活动进行分析时,尤其是针对域外事件,往往不可避免地需要基于有限信息线索叠加开源情报进行推测。实证级别的深入分析通常具有极大的滞后性。目前,基于对带有政治倾向民间团体攻击活动的舆情式分析和基于网络测绘的验证,虽可作为一种边缘辅证的手段,但其难以揭示行动的本质。
在分析美方行动时,需深入理解其作战理念与行为范式,并结合相关目标任务节点进行研判。美军将网络空间划分为“内部网络空间”和“外部网络空间”。基于内部网络空间美军定义了三类行动:网络空间系统操作(Cyberspace System Operation,SO)、网络空间安全(Cyberspace Security,CS)、网络空间防御(Cyberspace Defense,CD)。分别对应基础IT运营、对信息体系脆弱性和暴露面的约束塑造以及与威胁行为的交互,旨在保护己方网络可用性、完整性和安全性。而针对外部网络空间,美方定义了两类作战样式:网络空间情报行动(Cyberspace Exploitation,CE)、网络空间攻击(Cyberspace Attack,CA)。需特别关注的是,美方严格区分CE与CA,在美方认知意义上,侵入网络体系、投放恶意代码执行体、获得系统权限、实现持久化、获取信息数据等低感操作,均属于网络空间情报行动范畴;而只有需要转化为物理和社会空间致效影响的行动样式,美方认为才是“网络空间攻击”。
美军联合出版物《联合网空行动》[8](JP3-12)对CE和CA定义如下:
网络空间情报行动(CE):CE是进攻性网络行动(OCO)和防御性网络空间作战—响应行动(DCO-RA)的主要组成部分,行动不会产生直接的网络攻击效果。行动主要包括:创建访问权限、军事情报活动、网络机动、信息收集以及为未来军事行动所必需的其他赋能行动。行动旨在获取和保持网络优势,支持当前和未来作战的作战环境准备。具体包括:获取和维持对具有军事价值的对手网络、系统和节点的未授权访问;在网络空间机动至有利位置;部署网络能力以促进后续行动实施。当某些CE除为后续网络攻击提供支持外,无其他合理解释或目的时,应被视为特定攻击的准备阶段。CE通过系统性信息收集,支撑当前与未来的作战行动,主要包括:绘制红色与灰色网络空间的拓扑地图,增强态势感知;识别系统漏洞;支持联合情报环境准备、威胁预警和联合目标开发;并为整个作战环境中军事行动的规划、执行与评估提供情报保障。
网络空间攻击(CA):CA会在网络空间中造成明显的拒止效果(降级、中断或破坏),或通过网络手段实施操纵,进而导致物理域的拒止后果。此类行动属于一种火力形式,经授权后可作为OCO或DCO-RA的一部分执行。行动应与美政府机构协调实施以避免任务冲突,并与物理域的计划火力密切协同。CA包括两类形式:一是拒止类攻击,即在指定时间内以特定程度阻止对目标系统或功能的访问、操作或可用性,具体表现为降级、中断和破坏;二是操纵以产生物理效果,即通过欺骗、伪造、篡改指令或控制系统等手段,操控敌方信息系统以引发物理域的拒止后果,此类效果可能难以立即察觉,因目标系统在表层仍可能显示正常运行。此类攻击可能达到“使用武力”或“武装攻击”的国际法门槛,特别是其旨在造成物理破坏或致命后果时。
图4 美方对网络空间的定义和行为样式
(图源:美军联合出版物《联合网空行动》(JP3-12),安天译)
CA与CE虽同属“外部网络空间行动”范畴,但存在显著区别。CA旨在通过降级、中断、破坏以及操纵系统等方式,对目标网络或物理设施产生可感知的拒止效果,属于主动施压或毁伤的行动,作为OCO的一部分。而CE则侧重于在不产生明显效应的前提下,通过隐蔽访问、信息收集、漏洞识别等手段,获取对手网络情报,支持态势感知、联合目标开发和作战规划,为军事行动赋能。只有当CE行为除支持特定攻击外无其他合理目的时,才被视为特定攻击的准备阶段。虽然二者存在差异,但在作战链中又紧密关联,但CE已经实现了突防到持久化,是长期隐蔽获取,还是转化为中断毁瘫,只是对不同指令的预设或接收执行。
在此次美军入侵委内瑞拉的军事行动中,美方综合运用CA和CE手段,实现作战效能融合与多域协同。CE体现在持续开展隐蔽情报作业,进行多源情报汇聚与交叉验证,实现对高价值目标的精准定位与实时监控。CA体现在对委加拉加斯电力系统实施CA手段,切断电力关键基础设施运行,为美军后续空袭与特种作战“开辟行动通道”。
三、行动中的CE:服务于作战任务的网络空间情报活动
美军在1999年的F2T2EA杀伤链模型中提出了数据信息与融合概念,提出“数据设定场景变成信息、信息设定含义变成知识、知识设定洞察变成情报、情报设定意图变成决策”。其高度依赖于多源情报融合、跨域无缝协同以及信息高速流转。可以判断的是在此次出动特种部队执行作战任务之前,美国已依托情报循环主导的全源情报融合机制,通过长期、持续的前置情报渗透与目标网络分析,在马杜罗等关键目标身边构建起多层次的情报覆盖体系,形成对其行踪、安全结构与决策环境的高度透明化掌控,为后续特种作战行动完成战场塑形。
图5 美军定义的数据向任务的转化
美国情报分析应用按照来源分为5类,分别是地理空间情报(GEOINT)、人力情报(HUMINT)、信号情报(SIGINT)、测量与特征情报(MASINT)和开源情报(OSINT)。其中前4类情报由主责情报机构通过特殊技术手段(包括依托侦察装备、间谍活动和网络入侵窃取等手段)获取,开源情报则是美情报界所有机构的通用情报手段,与其他技术情报一起综合利用,这些情报手段具有一定重叠性,可相互转化,也可互为支撑印证,相互关系如兰德公司2018年发布的《为国防企业定义第二代开源情报(OSINT)》[9]报告配图所示:
图6 美方五类情报及其逻辑关系
可以判断,美方此次行动发挥情报富集支撑和叠加效应。虽然委内瑞拉具有一定的地理纵深,但包括首都加拉加斯在内的多数城市主要位于北部沿海地带,位于市中心的米拉弗洛雷斯宫总统府以及此次马杜罗被抓捕的加拉加斯南部蒂乌纳堡军事基地内的加固住所,距海岸线直线距离均在30公里以内。美军在荷兰库腊索岛和阿鲁巴岛的战略前沿节点距委海岸分别为60公里和27公里。美方在加勒比海部署了以“福特号”航母为核心的作战打击群和硫磺岛号登陆舰的两栖作战群,后者可起降直升机和F-35C垂直起降战斗机。加拉加斯在美两个编队的直接打击范围内。除驻岛侦察设施外,美军此次行动中出动的EA-18G“咆哮者”电子战机,有效干扰作战半径达150-250公里,侦测距离可达300–500公里(强信号源)。可见马杜罗的一举一动完全处于美军多种技术侦察有效覆盖范围之内。加之美方侦察卫星、无人机等手段的进一步运用,已经构成了多种军事情报的感知覆盖。
图7 委内瑞拉首都是加勒比海沿岸城市
在基于天基、空基、海基的信号侦察情报与人力情报叠加背景下,已经可以基本有效支撑打击决策,网络情报则进一步成为这些手段的验证和辅证。而同时在针对空间有遮挡物、电磁有干扰的情况下,美方针对性的网络空间情报活动也可以基于突防和植入能力则可达成其他情报手段难以实现的战术目的。
美方网络空间情报作业能力依托多个关键支撑点,构建起全球领先、体系化的情报优势。配合此次委内瑞拉行动的美方网络空间情报活动大体可分为四个层次。包括信息获取、攻击渗透与情报汇聚分析。
一是基于与美国大型IT/互联网厂商隐秘合作的信息获取能力[10]。基于产业的全球信息获取,是美网络空间情报能力的重要支撑,其基于美方的产业优势与企业和美情报机构的耦合关系所取得,构成了其他国家难以复制的独家优势。其最著名的技术接口机制,就是“棱镜”项目。据斯诺登泄露的文件披露,2004年美国政府启动“星风”计划(STELLARWIND)进行大规模监听和情报搜集活动,后将“星风”拆分为“棱镜”(PRISM)、“主干道”(MAINWAY)、“码头”(MARINA)以及“核子”(NUCLEON)等4个项目,并由NSA负责实施。“棱镜”计划是一个自2007年开始实施的绝密级情报收集行动,主要方式是依托美国在全球互联网基础设施和数字服务领域的主导地位,利用美电信运营商、互联网服务提供商及大型IT企业所提供的数据接口进行大规模、常态化信息获取。“主干道”和“码头”项目分别对通信和互联网上数以亿兆计的“元数据”进行存储和分析。“核子”项目负责截获电话通话者对话内容及关键词,相比于“主干道”和“码头”,“核子”项目更加聚焦于内容信息的获取,通过拦截通话以及通话者所提及的地点,来实现日常的监控。“棱镜”与这些情报收集项目一起构成了体系化的情报作业能力,使美情报机构可以实现对全球互联网人员目标、信道目标、设备目标等完整的画像,从而形成比较精准的目标定位能力和情报提取能力。
二是基于组织团队、工程支撑体系和装备攻击突防能力[11]。美方在网络空间安全领域则依靠成建制的网络攻击团队、庞大的支撑工程体系与制式化的攻击装备库、强大的漏洞采集和分析挖掘能力以及关联资源储备、系统化的作业规程和手册,构建了具有装备体系覆盖全场景、漏洞利用工具和恶意代码载荷覆盖全平台、持久化能力覆盖全环节的特点的网空作业能力。依托一套成熟的技术网空威胁框架展开攻击能力筹划、组织、编排、实施,并最终实现人力情报、信号情报和网空情报的多源汇聚,实现情报的富集效应。回顾我们此前分析的美方多个攻击行动,“方程式组织”载荷不仅可以基于iMessage漏洞投放,更可以基于“量子”(QUANTUM)系统在网络侧针对上网终端浏览器漏洞利用投放,攻陷高价值目标;针对伊朗核设施的“震网”(Stuxnet)攻击,既可以利用“摆渡”攻击穿透物理隔离网络,也可以利用集成化的武器在无外部网络的内网按照既定逻辑运行破坏离心机;面向SWIFT金融系统的攻击行动,可以实现边界、内网、数据库层层突破控制和来去自如,持续隐蔽地获取金融数据;而近年来披露的“三角测量”行动更是利用多个系统和硬件0day漏洞以“零点击”模式打破iOS系统的安全“神话”;以上种种案例均是美在网络空间实施高精度、战略性网络攻击的典型案例,充分展现了其在攻击复杂性、技术隐蔽性和战略影响力方面的领先地位。
三是基于“旋转门”机制的政府与企业间制度化协作的情报共享体系(包括开源情报利用)。该体系是美网络空间情报能力的重要支撑,构成了其在全球范围内持续领先的情报生态。其中最具代表性的实践之一,就是我们曾在历史分析报告中点名的“哨兵地平线(Sentinel Horizon)”等项目。这些项目涵盖了美方全部18家情报机构,其首次充分利用美国私营部门的威胁情报力量来增强美情报机构的能力。该项目为美情报机构提供商业威胁情报数据访问、定期信息共享和专家分析交流等内容。这个体系与开源情报的利用高度耦合,并兼具攻击性和防御性的双重价值。其重要的信息来源,不只来自共享企业的自主感知,也来自大量的互联网暴露信息。在本文的第五节,我们专门整理了委内瑞拉系统性的关键数据泄露。
四是基于IC ITE等云平台的情报汇聚能力。美方通过IC ITE构建的大规模情报云(IC Cloud),系统整合了美情报界及国防部所有IT资源与服务,实现情报的融合与资源共享。IC ITE作为美情报体系的核心基础设施,将包括地理空间情报(GEOINT)、人力情报(HUMINT)、信号情报(SIGINT)、测量与特征情报(MASINT)和开源情报(OSINT)在内的全源情报,统一汇入基于大数据平台和人工智能的全方位情报整合体系,达成富集效应。
图8 美方基于统一的情报基础设施达成情报富集效应
表1 美方三种主要网空情报的获取方式
|
目标 手段 |
相关要素手段 |
优点 |
缺点 |
本次行动中 可能的价值 |
|
美国大型互联网/IT厂商/运营商/上游机构 |
• 通过“棱镜”(PRISM)等项目直接从美国主要IT企业和互联网企业微软、谷歌、脸书等企业服务器获取用户数据 • 与电信运营商(如Level 3)合作截取光缆数据 • 推动弱化的加密标准(如ISO) |
• 数据规模大:直接获取海量用户通信内容 • 合法性掩护:依托法律或秘密协议,行动隐蔽性强 • 效率高:无需复杂攻击流程,实时获取数据 |
• 只能面对合作企业展开 • 难以直接获取带有防御纵深的高价值数据 • 数据冗余度高:需筛选有价值信息 |
• 可能用于监控马杜罗及其关联人员的云存储邮件、社交通信等,以及相关APP所采集的信息和相关轨迹。 进行相关的人员性格、心理活动画像、绘制人员关系图谱 |
|
网络入侵渗透窃取 |
• TAO部门通过“量子”“酸狐狸”等武器植入木马 • 利用“零日漏洞”攻击关键系统(如“震网”病毒) • 劫持应用商店(如“怒角”计划) |
• 精准定向:可针对特定目标植入恶意软件 • 隐蔽性强:使用“大理石”等工具掩盖攻击来源 • 技术威慑大:能长期潜伏而不被发现 |
• 技术门槛高:需持续开发更新武器库 • 可能暴露攻击痕迹:被安全公司溯源后工具即失去价值 • 成本高昂:维护武器库和漏洞库存需大量资金 |
• 可能入侵马杜罗团队电子设备获取内部信息、文件 • 切断其通信渠道或监控加密通讯 |
|
开源情报共享 |
• 通过“五眼联盟”共享信号情报 • 利用“第四方机会”窃取情报数据 |
• 低成本:无需开发高难度攻击工具 • 表面合法性:可辩解为“公开数据收集” • 覆盖范围广:涵盖暗网、深网及公开平台 |
• 依赖合作伙伴:盟友态度变化可能影响共享(如丹麦事件引发欧洲不满) 信息碎片化:需整合多源数据 • 准确性有限:需交叉验证 |
• 可能通过他国情报获取马杜罗行踪及最新动态 • 结合公开报道信息分析其藏身地点 |
依托上表的能力分析,整体可以认为美方基于网络情报对委内瑞拉的关键人员、组织可以形成完整覆盖的情报效果。其可能的(或者说是必然实施的)战术举动包括:
入侵委内瑞拉重要基础设施和关键信息系统,获取内部文档、资料、情报和其他信息。
入侵和控制委内瑞拉关键人员的手机或终端电脑,直接获取信息,并使这些设备其成为移动的窃听器或再次攻击的跳板。
入侵委内瑞拉关键建筑的安防设备、智能家居等系统,达成内部侦察监听的目的。
入侵委内瑞拉关键基础设施,取得控制能力,持续观测运行状态,形成向CA的转化准备。
行动中的CA:区域停电实现辅助作战行动
美方所进行的是目标极为明确的作战行动,其所有物理、电磁、网空、认知频谱的活动都围绕着绑架、控制委内瑞拉总统这个核心目标展开,但同时也获取一定的关联价值。
美方轰炸了委内瑞拉多个军事目标,包括拉瓜伊拉港、解放者空军基地、蒂乌纳堡、卡洛塔空军基地、伊格罗特机场等,均为军事和基础设施目标。但根据相关信息遭遇轰炸的包括乌戈·查韦斯陵墓,这显然是一个政治目标。其军事打击中,带有对后续认知影响的考量。
图9 美军打击委内瑞拉目标情况
(图源:2026年1月3日,NEWYORK POST,安天译)
图10 美军轰炸委内瑞拉境内乌戈·查韦斯陵墓相关消息
(图源:X平台)
而相对于火力打击和特种行动,对于网空行动的最大关注,来自网空行动是否是美方军事行动过程中加拉加斯停电的原因。特朗普在记者会上承认,美方“让加拉加斯整个城市的灯几乎都灭掉了”,并称这得益于“某项技术优势”;美军参联会主席凯恩上将亦表示,美国网络司令部、太空司令部与各作战司令部“协同叠加多种作战效果”,为后续空袭和特种部队渗透“开辟行动通道”。这是本次停电是基于网络攻击手段的基本信源。而与此同时,我们也不可能不将其与2019年的委内瑞拉停电事件进行比较。
此次大停电与2019年大停电相比,存在一些差异:
一是社会背景与内部状况不同。2019年大停电时,委内瑞拉正处于在持续严重的政治危机和经济崩溃之中,一些民众试图逃离该国,政府军和民兵并存,军方内部存在不稳定因素,部分军人曾试图发动政变,存在大量街头骚乱。类似破坏电力设备、焚烧变电站等情况时有发生,关于大停电的诱因可能有综合因素。而此次停电时,委内瑞拉虽然面临美方更为直接的军事压力,但整体上国内社会生态相对平稳,没有大规模骚乱或抗议活动,基于其能与行动时间高度吻合的停电,但整体电力根据信息又能在有限时间内恢复。因此电力基础设施遭遇火力打击、物理损毁导致的可能性较小,而网络攻击活动造成停电的可能性更大。
二是军事对抗与火力破坏叠加特征。2019年大停电是伴随着未遂的“颜色革命”发生的,停电就是攻击目的,通过瘫痪关键基础设施制造更大社会混乱,也因此,委内瑞拉政府指控美国使用“高技术武器”攻击电力系统。而此次美方实施“点穴式”军事打击与网络攻击的复合型行动,动用EA-18G“咆哮者”电子战飞机释放强电磁干扰,切断委内瑞拉军方的指挥通信链路与防空雷达信号,随后F-35隐身战机、巡航导弹对加拉加斯南部军事设施、空军基地、雷达站等至少10处关键目标实施精确打击。加拉加斯的停电整体上是为了其直升机编队低空和作业进入提供更隐蔽的辅助。其需要的是精准、确定性、可控。
综上,由于停电攻击是为了给美方的军事行动提供辅助和掩护。且从美方所需要的利益来看,在成功达成控制绑架马杜罗总统夫妇的背景下,美方需要对委方施加相对小的影响以创造为委方扶植委方傀儡政府,包括让委方接受美方的管理创造谈判条件。因此美方需要在这个过程中相对实现关联损伤受控,甚至可逆的。而这恰恰是网络攻击所具有的独家条件。正如美国陆军参谋长前高级顾问Maren Leed曾在《Offensive Cyber Capabilities at the Operation Level》[12]一文中指出,“网络武器具有无与伦比的多功能性,它们可用于从参与到高端作战的所有军事行动。因为它们的影响是可逆的,所以非常适合于作战的所有阶段,包括环境塑造、高烈度对抗 以及目标重建”。
五、密集的关键信息泄露,辅证委内瑞拉安全能力脆弱和艰难
不适合对委内瑞拉进行大规模的暴露面测绘,我们选择了委内瑞拉的信息泄露事件作为其网空安全能力的观测指标。根据对泄露数据平台的监测分析来看,委内瑞拉政企机构2024年至2025年间遭受了大规模、系统性的数据泄露。据不完全统计,2024年共记录了6起重大数据泄露事件,而进入2025年后,此类事件数量急剧攀升至19起,增长了超过三倍。这一显著的时间分布表明,2025年已成为委内瑞拉信息泄露的“密集爆发期”,特别是在2025年10月后风险激增。
这些泄露事件所涉及的机构范围广泛、数据敏感性高,其中包括肯德基、Credicard财团、电信运营商(如Movistar、Digitel)等商业实体,更关键的是,大量核心国家安全与政府机构成为主要目标。例如,国防部、玻利瓦尔国家警察(PNB及CPNB)、国家实验安全大学(UNES)、中央银行(BCV),乃至覆盖全国3000万用户的“Patria”社会福利平台以及163.5万民兵成员的详细个人信息均遭泄露。泄露数据从个人的身份证、电话、地址、金融记录,到军警人员的档案、证件、家属信息、内部文件,甚至机密军事部署和政府内部通信,数据量最高达TB级别。
图11 2024-2025年委内瑞拉数据泄露事件汇总
图12 2025年10月后委内瑞拉信息泄露进入爆发期
图13 曝光售卖委内瑞拉信息的关键活跃威胁者
这些泄露数据密集的来自少数关键威胁者,其有可能是带有政治倾向的黑灰产组织,也可能是内部窃密者的一种经济投机行为。这些信息有可能进一步提升美方攻击的指向性。当然以美方超强的攻击能力,其中很多数据美方之前可能已经窃取或掌握,包括掌握更多未公开的深层次的数据信息,甚至有可能部分数据可能来自美方获取后的反向释放,意在构造更大的信息混乱。接连发生的、针对高价值目标的成功泄露事件,深刻暴露了委内瑞拉在重要信息系统和关键信息基础设施防御体系和能力上存在的严重缺陷。从军方数据库到国家认证平台,多个关键节点被攻陷或内部泄密。这本身即形成了对委内瑞拉网络防御情况和面临的对抗压力的观测信标,也能间接判断从美方角度依托网空作业+开源情报所能实现的目标与人员覆盖。
六、对网络攻击导致武器系统失效可能性影响猜测
面对美方此次行动,委内瑞拉的防空系统对入侵美机未能起到任何有效的反制作用,所部署的S-300VM、山毛榉-M2E等先进的远程/中程防空系统,未对入侵美机发射一枚拦截导弹。从行动过程与效果来看,委内瑞拉雷达站、军营、武器库等遭遇了美军的火力打击,是防空系统未有效反应的一个可能原因;与此同时,电子战能力差距悬殊而导致委防空系统被压制致盲、美军直升机超低空突防战术杰出而使得委防空系统无法有效探测、作战指挥与情报体系被渗透而无法实施有效拦截、存在“内鬼”干扰破坏以及热带气候影响了装备性能等也是可能因素。
同时,由于委内瑞拉国内的军政生态,本身不能排除军方“不想打、不敢打”的可能性,但基于美方在作战行动中“多管齐下”的特点,并不会将行动成本只维系于叛徒或内鬼的“合约”之上,必然会叠加强有力的技术手段。因此,在本次行动中,不排除美方采用了针对委内瑞拉武器系统的主动抑制战略(Left of Launch)。该战略的核心逻辑是在对手武器系统(涵盖核、常规、网络等多领域)具备作战效能前,通过非动能与多域协同手段实施精准干预,从源头削弱或瘫痪其攻击能力,避免冲突升级或降低己方防御压力,广泛应用于防空反导、核、网络等关键作战领域。
破坏对手武器性能、甚至完全导致对手武器失效,对美军而言由来已久。在侵略越南期间,美方通过特种作战力量实施“长子行动(Project Oldest Son)”,以特种作战力量潜入北越后方,将中国援助的7.62mm步枪弹、12.7mm高射机枪弹及82mm迫击炮弹替换为射击即爆炸的陷阱弹。通过武器炸膛、人员毁伤等破坏效果,并在爆炸事件后伪造文件暗示中国军火存在质量问题,达成降低越方对中方援越武器信任度,离间中越两国关系的目的。当前,军事技术相比于侵越战争年代,已发生了深远变化;基于人力的破坏活动,在信息化、智能化战争的时代,有了更为有效的途径,即通过网络的攻击渗透和致效果,达成降级、失效对方武器系统的目标。
2013年9月,时任美国战略与国际问题研究中心(CSIS)的国防政策研究高级顾问的Maren Leed,就在《作战层面的网络进攻能力》[12](Offensive Cyber Capabilities at the Operational Level)一文中指出,“当针对一个特定的武器系统时,网络攻击可以在多个时间点发起攻击,包括早期开发过程(导致武器可靠性问题)、使用决策(即使只有一个武器出现问题,也会终止整个武器种类的使用)”,并坦言“网络武器显著的非对称性一直是美国在追求进攻能力中的主要驱动力”。根据2022年2月24日英国国际战略研究所(IISS)发布的《大国进攻型网络战役:战略实验》[13](Great-Power Offensive Cyber Campaigns: Experiments in Strategy)报告所提,同样在2013年《纽约时报》曾报道“奥巴马授权对朝鲜资产实施网络攻击以强化胁迫策略,该策略已持续加强十余年但未达预期效果,2013年后,这项新举措中增加了在朝鲜导弹发射前阶段进行网络或电子攻击,并致使朝鲜部分试验失败”,并认为相关证据可靠度较高。
此外,2021年1月,美海军作战部长领航计划(CNO NAVPLAN 2021)[14]明确提到“当冲突发生时,海军的特种部队往往是首批抵达现场的并能够迅速扩充力量以控制海洋并向岸上投送力量。敌对行动结束后,仍坚持前沿部署,通过持续的前沿参与来维护美国的长期利益”、“海军投送力量和影响力范围广泛,既包括对敌方部队发起攻击,也包括在远早于战斗时间便塑造战场态势,让竞争对手知道其并无实现其目标的可行手段”。从美国国防部2023年3月发布的2024财年国防预算概览[15]中“58亿美元预算用于让对手导弹失效或进行发射前干扰活动”。美军一直致力于让对手武器系统失效以降低自身危险系数;另一方面,从2012年开始也努力避免伴随着智能化和软件定义武器的加速演进,武器系统出现可被网络攻击的命门。美国防部测试人员不遗余力地寻找其所有开发中的武器系统存在的网络漏洞,委托美国政府问责局(GAO)进行武器系统网络安全评估以确定导致存在安全问题的要素、确定武器系统存在的漏洞清单、掌握具备网络弹性的武器系统情况,并发布针对性改正措施。
综合来看,美方已在政策制度、标准与流程、技术与工程实践、人才与组织、演训与合作等方面,系统性加强武器系统网络安全。美方的举措,具有鲜明的特点:一是紧抓武器系统全生命周期安全,覆盖武器系统设计、研制、采购、部署、维保到退役的各个阶段,全面强化网络安全防护,有效收缩任何可能的网络攻击暴露面;二是以网络安全技术为根基,形成技术、制度与人员并行建设的局面;三是突出任务保障导向,摆正网络安全与武器效能之间的作用关系,以保障武器系统在受网络攻击条件下仍能完成作战任务为核心目标。典型的技术性措施包括:(1)在体系架构层面,推动零信任等安全架构在作战网络中的落地,并在战区指挥控制系统、联合作战网络中开展试点;(2)推动武器系统的内生安全能力,引入“Secure Boot”等安全机制,实现固件完整性保护与安全更新,嵌入工业控制系统与武器平台总线安全等措施,加强系统安全与嵌入式与平台防护能力;(3)加固战术数据链、在作战网络与武器系统支撑网络中部署持续的监测与态势感知,增强指挥控制与战场网络安全;(4)要求武器系统相关软件在开发全流程采用静态/动态代码分析、安全编码规范和强制代码审查、威胁建模与攻击面分析等技术措施,保障武器系统软件与开发流程的网络安全;(5)通过强制性技术合规措施、软硬件鉴别与逆向分析能力以及“Trusted Foundry / Trusted Supplier Program”机制,扭转武器系统供应链网络安全的脆弱局面;(6)建设高度仿真的“武器系统网络靶场”,在演训与实战环境对武器系统开展攻防对抗能力的检验。这些方式对我方也具有借鉴意义。
七、几点思考
(一)从地缘政治层面,本次行动带有特朗普新“门罗主义”的必然性
北京航空航天大学张文木教授在2025年8月发表的《特朗普新政与中国机遇》[16]一文中指出,“特朗普新政是防御性战略收缩,正回归‘门罗主义’”,“防御性战略收缩本质是美国面对‘东升西降’格局和自身实体经济衰落的被迫调整,标志着美帝国全球霸权体系的结构性松动”。2025年12月4日,美政府发布新版《国家安全战略》标志着重大战略转向,明确将国家核心安全利益从大国竞争转向西半球,稳固其美洲基本盘。也验证了他的判断。帝国主义国家战略收缩期的特点表现为,在其资源不足以支撑全球霸权的背景下,其将强行划定一个基于局部地缘扩张核心利益圈。此时,圈外国家或被其主动放弃,或主动疏离;但同时,也需要看到其针对圈内国家的力量运用的强度、频度、广度都会进一步升级强化。类似于恒星坍缩过程,一部分物质会逃逸出引力范围,而另外一部分会加紧向核心坍缩、挤压,在极短时间内将核心区域的物质密度压缩到极致。因而,面对美国新“门罗主义”的战略收缩,既要看到其在整个在收缩期中释放出来的部分其力所难及的真空区,同时也要看到其在重新定义的核心利益边界内,需要打造一个更为致密的势力控制基础,在这个范围内采取的行动将是超越历史极限的强化升级,会频繁打破惯例、突破底线。
美实施新“门罗主义”战略的重要一步是在西半球“清理门户”,肃清拉美地区反美国家,推翻这些国家的合法政府并扶植亲美傀儡政权。委内瑞拉是加勒比海南岸最大的支点国家,控制委内瑞拉也是控制加勒比海继而墨西哥湾的关键。此次入侵委内瑞拉行动,既带有美历史上入侵格林纳达、巴拿马等拉美国家的鲜明的帝国主义强权色彩,又非常符合特朗普的精算风格,显示出特朗普政府的新军事行动特点:抗拒大国战争,恐惧干涉主义泥潭。但通过快速且相对低成本的“特种作战”实施“斩首行动”,完成对反美国家的政权更替,既可以避免陷入原美国干涉主义可能带来的战争泥潭,同时又可以宣示其势力控制范围。在选择这种效费比更高的符合美国战略利益行动方式的前提下,特朗普政府可能具有比其他总统更强的冒险主义特点。因此尽管本次事件有着极为显著的突发性,美国新“门罗主义”的战略收缩叠加特朗普式的冒险主义军事决策风格,一定程度上就构成了此次行动的必然要素。
(二)委方未以底线思维进行极限准备,为美实施行动带来可乘之机
从美方行动成效来看,委内瑞拉政府在判定和应对中缺少相应的底线思维。对于美方采取军事行动,包括把行动目标指向马杜罗总统本人直接实施抓捕,委方缺少相关战略判断,相应准备不足。和以往遭遇美方干涉的拉美国家相比,委内瑞拉并不是类似格林纳达式的岛国,而是一个有超过90万平方公里领土面积、具备一定地理战略纵深的国家。然而,委内瑞拉首都等重要城市均靠近沿海,这在经济发展上带有很明显的优势,但一旦进入军事对抗,很显然就处于极为不利的位置。在美方步步紧逼的威胁下,委方没有有效利用战略纵深,将其首脑和指挥机构转移到地理纵深地区进行战争准备,整体上还基本上保持了原有的日常行为和运作方式。可以看出,委方猜测美方依然是传统的“以压促变”的行为,没有判断出美方会直接进行突袭绑架行动。在对美方行动必然性的判断中,委方在战略研判上有所疏失。在美方整体战略收缩、更加聚焦关注拉美地区背景下,金融资本已经在主动进行适配。例如巴菲特坚持增持在委内瑞拉国土上唯一拥有作业权的美国大型石油公司雪佛龙的股票。这足以昭示,美国金融资本已经在做必须颠覆马杜罗政府,将委内瑞拉推动到一种新型经济殖民的布局准备,但委方并未充分完成必要的战略动员准备。
在此前我们针对2019年委内瑞拉停电分析中,能够看到面对瓜伊多等西方支持的反对派发动的冲突,马杜罗体现出了执政能力和政治韧性,击败美国扶植的瓜伊多于前,2024年又迫使反对派新的标志性人物埃德蒙多·冈萨雷斯出走西班牙。但很有可能与此关联的是,美国也会认为,针对委内瑞拉现政府,靠这种传统的、原有的煽动内乱的颜色革命范式,有可能“此路不通”。美方可能就会临时划掉这一选项,而转型为更高烈度的军事行动。委方长期在国家力量动员和军事斗争方面的积累和准备不足;面临重大风险时,底线判断不够,亦缺乏极限组织和动员。这也进一步让拥有全面实力优势的美方,认定其可以继续突破行为底线而不会产生严重的负面后果。但这正是在第三世界国家,争取民族独立斗争和发展自主过程的复杂性。1964年8月,毛泽东主席在人民大会堂接见委内瑞拉共产党中央代表团时就曾指出,“革命目标是很清楚,但对帝国主义及其走狗斗争的方法是慢慢才能清楚的,不可能一天就清楚了,或一年就清楚了”。
(三)网络空间对抗在战争演进中依然行走在从辅助性因素到主导性因素的过程中,并最终在人工智能时代实现突变
作为网络安全工作者,我们清楚自身的工作价值,但基于国家安全技术支撑工作所需的客观、严谨,我们也同样反对以“狼来了”的方式,夸大网络威胁的影响。平时阶段,网络对抗已经逐步开始成为主导性力量,从持续性情报窃取对战略主动性的支撑,到舆论操控与认知塑造。都是我们需要高度关注和防范的对手活动。但战时阶段,网络攻击依然是辅助性力量,其核心作用是为传统军事行动(火力打击、特种作战等)攻击情报、提供掩护、“开辟通道”,而非单独承担作战核心任务。作为网络安全工作者,我们关注到作战影响和效能依托攻击方的网络空间作业能力和对手方防御能力的“能力差”实施,其致效结果,则与被攻击一方对于网络空间依赖程度高度成正比。对这一点,只能用体系化的防御能力来消减。而当社会运行更深度依存于数字化和人工智能体系时,网络空间对抗将在某一天成为更为革命性和主导性的战争要素。因此,一切正在依托数字化、智能化加速自身发展进步的国家,均需要构建与发展水平适配的网络安全能力,才能守护自己的未来。