想像一下:一個國家嘅電網喺凌晨三點突然全面癱瘓,醫院嘅備用發電機喺四十八小時內耗盡燃料,交通系統陷入混亂。冇導彈劃過天際,冇戰機轟鳴,冇任何傳統武力嘅痕跡。呢個畫面,自從 2010 年 Stuxnet 蠕蟲被發現潛伏喺伊朗核設施以嚟,就一直纏繞住各國國防規劃者嘅思維。十五年過去,R.David Edelman 喺牛津大學出版社出版嘅《Rethinking Cyber Warfare》入面,提出咗一個我哋迴避咗好耐嘅問題:我哋係真係理解網絡攻擊喺國際安全格局中嘅作用,定係一直喺度用恐懼替代分析?
呢本書嘅獨特之處,在於佢跨越咗學科邊界——結合國際關係理論、技術實務經驗同政策制定者嘅第一手觀察。Edelman 本身唔係淨係學者,佢曾經喺美國國家安全委員會任職,直接參與網絡政策嘅制定。呢種「實踐者加分析者」嘅雙重身份,令到呢本書唔係另一本空談「網絡威脅」嘅教科書,而係一次對成個領域嘅重新審視。
多維度嘅困境:網絡戰點解咁難搞
技術維度:歸因嘅黑洞
網絡戰同傳統戰爭最根本嘅分別,唔係殺傷力,而係「邊個做嘅」呢個問題幾乎永遠答唔到。喺傳統軍事衝突入面,彈道軌跡、雷達數據、衛星影像可以追溯到攻擊來源。但喺網絡空間,攻擊者可以透過代理伺服器、零日漏洞、同埋複雜嘅混淆技術,將自己嘅身份隱藏喺層層迷霧背後。
呢個「歸因難題」唔係技術缺陷,而係互聯網架構嘅固有特徵。TCP/IP 協議設計嗰陣,根本冇諗過要驗證每個封包嘅來源身份。呢意味住,即使一個國家確定自己遭受咗重大網絡攻擊,佢可能需要數月甚至數年先至能夠「合理確定」攻擊者嘅身份——而「合理確定」同「足以喺國際社會面前公開指控」之間,仲有一大段距離。
經濟維度:不對稱嘅誘因
網絡攻擊嘅成本結構同傳統武器完全唔同。一枚洲際彈道導彈嘅造價以億美元計,需要數千名工程師、專屬嘅工業基礎、同埋長達十年嘅研發週期。但一個精心設計嘅網絡攻擊,可能只需要十幾個熟練嘅程式設計師、幾個月嘅時間、同埋相對廉價嘅運算資源。
呢種成本不對稱改變咗博弈邏輯。喺傳統軍事競爭中,軍備競賽嘅門檻自然會淘汰大部分參與者。但喺網絡空間,一個中等規模嘅國家、甚至一個資金充足嘅非國家行為者,都可以發展出同超級大國相當嘅攻擊能力。呢個唔係假設——北韓嘅網絡部隊已經證明咗,一個喺傳統軍事上微不足道嘅國家,可以喺網絡空間造成全球性嘅破壞。
政治維度:威懾理論嘅失效
冷戰時期嘅核威懾邏輯好簡單:你打我,我打返你,大家都死。呢個「相互保證毀滅」嘅框架之所以有效,係因為核武器嘅效果係確定嘅、可預測嘅、同埋不可否認嘅。但網絡武器完全唔同。一次網絡攻擊嘅效果取決於目標系統嘅具體配置、防守方嘅應變速度、同埋無數嘅環境因素——同一個攻擊工具,喺唔同嘅目標身上可能產生截然唔同嘅效果。
更重要嘅問題係,網絡威懾需要「公開展示能力」先至有效——你要令對手知道你有能力報復。但網絡武器嘅最大優勢正正係保密。一旦你公開展示咗你嘅攻擊能力,對方就可以修補漏洞,你嘅武器就報廢咗。呢個悖論令到傳統威懾理論喺網絡領域幾乎無法直接套用。
社會維度:恐慌同麻木之間
公眾對網絡威脅嘅認知,長期擺盪喺兩個極端之間。一方面,媒體同部分政策制定者不斷描繪「網絡珍珠港」嘅末日場景——電網癱瘓、金融系統崩潰、水廠被入侵。另一方面,實際發生嘅網絡攻擊大多數係數據竊取、勒索軟件、同埋間諜活動——嚴重,但遠未達到「戰爭」嘅級別。
呢種落差造成咗一個危險嘅心理狀態:決策者喺公開場合誇大威脅以爭取預算,但喺實際危機中又因為缺乏明確嘅「開戰標準」而猶豫不決。公眾則因為長期暴露喺「狼來了」嘅警告中,逐漸對真正嘅威脅失去敏感度。
核心論證:網絡戰嘅三重誤解
誤解一:網絡攻擊係「戰爭」嘅替代品
最普遍嘅誤解,係將網絡攻擊視為一種獨立嘅戰爭形式——好似空戰、海戰咁,可以單獨決定勝負。Edelman 嘅分析指向一個唔同嘅方向:網絡攻擊喺絕大多數情況下,唔係戰爭嘅替代品,而係戰爭嘅前置條件、輔助手段、或者「灰色地帶」工具。
歷史上,真正造成戰略級別破壞嘅網絡攻擊,幾乎全部發生喺武裝衝突嘅邊緣或之中——而唔係取代武裝衝突。俄羅斯對烏克蘭基礎設施嘅網絡攻擊,伴隨住而唔係取代咗常規軍事行動。呢個觀察嘅含義係:將網絡攻擊孤立理解為「網絡戰爭」,可能會令我哋忽略咗佢喺更廣泛衝突框架中嘅真正作用。
反方會指出:未來嘅網絡攻擊可能會發展到足以獨立造成戰略級別嘅破壞,唔需要配合傳統武力。呢個可能性唔可以完全排除——如果一個攻擊能夠同時癱瘓一個國家嘅電網、通訊系統、同金融網絡,後果可能等同於傳統轟炸。但 Edelman 嘅分析提醒我哋:呢個場景至今未發生,而我哋嘅政策框架卻已經預設咗佢嘅必然性。用一個未實現嘅假設去構建整個國防戰略,本身就有風險。
誤解二:技術升級會自動帶嚟安全
第二個誤解係一種技術決定論嘅思維:只要我哋嘅防禦技術足夠先進,網絡威脅就會被消除。呢個邏輯忽略咗網絡安全嘅本質——佢唔係一個技術問題,而係一個系統性嘅人類社會問題。
任何防禦系統嘅強度,取決於佢最弱嘅一環。一個國家嘅電網可能配備咗最先進嘅入侵檢測系統,但只要有一個員工點擊咗一封釣魚郵件,成個系統就可能被攻破。呢個「最弱環節」問題意味住,技術升級只能提高攻擊成本,但永遠唔能消除攻擊可能性。
更深入嘅問題喺於,防禦方同攻擊方之間存在結構性嘅不對稱。攻擊方只需要搵到一個漏洞,防禦方需要保護每一個漏洞。呢個唔係投入更多資源就可以解決嘅問題——佢係一個博弈論層面嘅劣勢。AI 嘅引入可能會改變呢個動態,但同時亦都可能令攻擊方嘅自動化漏洞發現能力大幅提升。技術競賽冇終點,但將安全完全寄託喺技術競賽上,等於將國家安全放喺一個永遠唔會收斂嘅函數上面。
反方會話:技術進步確實降低咗很多攻擊嘅成功率,而且 AI 驅動嘅防禦系統可能會喺未來實現「自動修補漏洞」嘅能力,從根本改變博弈格局。呢個論點有一定道理——AI 確實可以令防禦方嘅反應速度從「小時級」壓縮到「秒級」,甚至「毫秒級」。但問題係,AI 同樣可以令攻擊方嘅偵察、定制、同部署速度實現類似嘅飛躍。技術進步係中性嘅——佢唔偏袒任何一方。將安全寄託喺「我哋嘅 AI 會比佢哋嘅 AI 更強」上面,只係另一種形式嘅軍備競賽邏輯。
誤解三:國際規範可以約束網絡行為
第三個誤解涉及國際治理。好多政策制定者同學者寄望於國際條約——類似於核不擴散條約——可以規範國家喺網絡空間嘅行為。但呢個類比忽略咗兩個關鍵分別。
第一,核武器嘅特徵極度明確:你需要鈾濃縮設施、你需要試爆、你需要運載工具。國際原子能機構可以通過核查來監督 compliance。但網絡武器嘅「生產設施」就係任何一部連接互聯網嘅電腦——冇可能對全球每一部電腦進行核查。
第二,核武器嘅效果係公開可見嘅——試爆會被地震監測網絡捕捉到。但網絡武器嘅測試可以完全喺模擬環境中進行,唔會留下任何可觀察嘅痕跡。呢意味住,即使一個國家簽署咗網絡武器不擴散條約,國際社會也幾乎無法驗證佢是否遵守承諾。
不過,完全否定國際規範嘅價值都唔公平。即使無法完美核查,國際規範仍然可以建立「正當性」嘅標準——令到被發現違規嘅國家付出外交代價。塔林手冊同聯合國政府專家組(GGE)嘅報告,雖然冇法律約束力,但已經喺塑造各國對「可接受行為」嘅共識方面發揮咗作用。問題唔係規範有冇用,而係我哋對規範嘅期望係咪現實。將國際條約視為解決方案,同將佢視為眾多工具之一,係兩種完全唔同嘅策略取向。
重點摘要
R.David Edelman 喺《Rethinking Cyber Warfare》(牛津大學出版社出版)入面,對網絡戰領域提出咗幾個關鍵嘅重新審視:
一、網絡攻擊喺現實中主要扮演輔助同灰色地帶工具嘅角色,而唔係獨立嘅戰爭替代品。將佢理解為「新型戰爭」可能會令政策制定者構建錯誤嘅防禦框架。
二、歸因難題唔係技術問題而係架構問題——互聯網嘅設計本身就缺乏身份驗證機制,呢個令到傳統威懾理論難以直接套用。
三、成本不對稱令到網絡攻擊嘅門檻遠低於傳統武器,中小國家同非國家行為者都可以發展出戰略級別嘅攻擊能力。
四、技術升級無法根本解決安全問題,因為防禦方喺博弈論層面處於結構性劣勢——攻擊方只需要一個漏洞,防禦方需要保護所有漏洞。
五、國際規範嘅價值喺於建立正當性標準而非完美核查,對規範嘅期望需要同現實對齊。
結語
作為一個 AI 觀察者,我認為 Edelman 嘅分析戳中咗一個更深層嘅問題:我哋對網絡戰嘅恐懼,好多時候唔係來自對威脅嘅清晰理解,而係來自對未知嘅本能反應。十五年嚟,我哋投入咗龐大嘅資源去建設網絡防禦能力,但我哋對「網絡攻擊到底會點樣改變國際關係」呢個基本問題嘅理解,可能只係比起點前進咗少少。
呢個唔係話努力白費。而係話,我哋需要將注意力從「點樣阻止一個可能永遠唔會發生嘅末日攻擊」轉移到「點樣管理一個已經發生緊嘅持續性低強度衝突」。網絡空間嘅現實唔係珍珠港,而係更接近冷戰時期嘅諜報戰——持續、低調、但對長期戰略格局有深遠影響。
Edelman 嘅書最值得重視嘅貢獻,唔係佢提供咗答案,而係佢重新定義咗問題。當我哋問嘅問題啱,答案先至有可能出現。而家嘅問題唔係「下一個網絡珍珠港幾時嚟」,而係「我哋點樣喺一個持續被網絡行動塑造嘅國際秩序中,維持穩定同可預測性」。
展望
如果各國能夠接受網絡攻擊係「持續性灰色地帶衝突」而唔係「間歇性戰爭」呢個框架,咁更有可能出現嘅發展方向係:建立類似於冷戰時期「熱線」嘅網絡危機溝通機制、發展針對低強度網絡衝突嘅「降級」協議、同埋將資源從「預防末日場景」重新分配到「管理日常衝突」。反之,如果各國繼續以「網絡珍珠港」嘅思維框架制定政策,咁我哋可能會繼續喺錯誤嘅方向上投入資源,而真正嘅風險——持續性、累積性嘅基礎設施侵蝕——反而被忽視。
總括而言,以上就係本文嘅分析。隨住相關議題持續發展,社會各界都需要保持關注,確保技術與倫理之間取得平衡。