「一堆垃圾」：美國政府對微軟雲端安全的內部評語

當一個負責保護國家系統的安全評估官，在內部報告裡寫下「這個文件包是一堆垃圾」，這句話的分量遠不止於情緒宣洩。

事件始末

2024年底，美國聯邦政府的網路安全評估團隊對微軟（Microsoft）的核心雲端運算服務進行審查。評估結果令人憂慮。根據美國媒體ProPublica取得的內部報告，微軟「缺乏適當的詳細安全文件」，導致評估人員「對系統整體安全狀況的評估缺乏信心」。

其中一名評估團隊成員的措辭更為直白：「這個文件包是一堆垃圾。」

這不是一句隨口抱怨。微軟的雲端服務——包括Azure雲端平台與Microsoft 365辦公套件——已深度嵌入美國聯邦政府的核心運作，從國防部到財政部，數十個聯邦機構每天依賴這些系統處理敏感資料。評估官員連基本的安全文件都無法取得，意味著沒有人能真正確認這些系統是否安全。

這不是第一次警報

這份報告並非憑空而來。微軟近年來已累積了一系列嚴重的安全事故。2023年，被認為與中國有關聯的駭客組織成功入侵微軟的電子郵件系統，竊取了美國國務院等政府機構的郵件內容。2024年初，與俄羅斯有關聯的駭客又入侵了微軟高層主管的電子郵件帳號。

美國網路安全暨基礎設施安全局（CISA）隨後發布報告，直接點名微軟的安全文化存在根本性問題。微軟執行長Satya Nadella不得不公開宣示「將安全列為最高優先事項」。

然而，這份最新的內部評估顯示，在宣示之後，實際的文件透明度與安全可驗證性依然不足。承諾與現實之間的落差，才是問題的核心。

廣告

廣告合作

[email protected]

廣告

對華人世界意味著什麼

對台灣、香港及東南亞華人社群而言，這個消息值得從幾個層面思考。

首先是政府與企業的雲端依賴問題。 台灣政府近年積極推動數位轉型，行政院、各部會與地方政府大量採用微軟雲端服務。在台海安全形勢緊張的背景下，政府核心系統的資安基礎若建立在一個連美國評估官都無法有效審查的平台上，這個風險值得嚴肅討論。

其次是地緣政治的雙重視角。 值得注意的是，2023年入侵微軟系統、竊取美國政府郵件的，正是被美方指認為中國國家級的駭客組織。這一事實在美國引發了對微軟安全能力的強烈質疑，但在中國大陸的語境下，這件事卻更常被解讀為國家間網路博弈的一部分，而非科技企業問責的問題。同樣的事件，在不同政治語境下，產生了截然不同的敘事框架。

第三是替代方案的問題。 在中國大陸，由於監管要求，微軟的部分服務受到限制，阿里雲、騰訊雲、華為雲等本土雲端服務佔據主導地位。這些平台是否更安全、更透明？還是只是換了一種不同的不透明？這個問題同樣沒有簡單答案。對於在多個市場運營的跨國企業，選擇雲端供應商本身已成為一個複雜的地緣政治決策。

科技巨頭的「大到不能被審查」

這個事件揭示了一個更深層的結構性問題：當一家科技公司的服務已成為全球基礎設施，它是否還需要對外部審查保持透明？

微軟在全球190多個國家提供服務，其雲端業務年收入超過1,000億美元。這種規模帶來的不只是商業優勢，更是一種難以撼動的市場地位——客戶依賴程度越深，供應商對透明度要求的抵抗力就越強。

從企業角度看，詳細的安全文件可能涉及商業機密，完全公開確實有其風險。從政府角度看，花費公帑採購一個連基本安全狀況都無法評估的系統，本身就是一種失職。從普通用戶角度看，我們每天使用的服務，安全性究竟由誰來把關？

亞洲各國政府目前正處於數位轉型的關鍵節點。如何在效率、成本與安全可驗證性之間取得平衡，將是未來幾年政策制定者面臨的核心挑戰之一。