马斯克触碰了六根安全红线

7 小时前作者：GoUpSec

上周末，美国公民自由联盟（ACLU）向国会监督委员会发出紧急警告：埃隆·马斯克领导的政府效率部（DOGE）已实质性接管联邦核心数据库，包括财政部支付系统（管理6万亿美元资金流）、人事管理局（OPM）的2亿份雇员档案，以及连接国防反间谍安全局（DCSA）的安全许可信息。

ACLU称此举涉嫌违反《隐私法》《联邦信息安全现代化法案》（FISMA）及宪法第四修正案，并准备发起集体诉讼。

根据ACLU的公告，这场被民主党议员称为“数字政变”的行动，目前存在三大致命违规风险：

权限越界：DOGE访问的财政部系统涉及每年6万亿美元政府支付，涵盖社保福利、薪资发放及小企业补助；OPM系统包含2亿现任及前任联邦雇员的隐私记录，与国防反间谍安全局（DCSA）的安全审查数据直接联通。DOGE作为外部咨询委员会，法律上无权访问敏感系统，甚至马斯克本人也没有访问机密信息所需的安全许可；
人员失控：25岁前SpaceX工程师获财政系统管理员权限，无安全审查记录，DOGE团队中有员工曾在招聘攻击性黑客的公司就业；
技术黑箱：DOGE在OPM私设未经验证的服务器，让人联想到2015年东大黑客入侵路径。

六根安全合规红线

ACLU认为马斯克同时触碰了六根安全合规高压红线：

1、《隐私法》

财政部支付系统存储全美1.2亿社保受益人银行账号、1.5亿纳税人信息及小企业补助数据。根据《隐私法》第552a条，未经授权披露可触发每人1000美元民事赔偿，若涉及恶意滥用，DOGE或面临万亿级集体诉讼。

2、FISMA

国家技术与标准研究院（NIST）的SP 800-53标准要求，联邦系统访问需满足：

DOGE的OPM私有服务器跳过全部流程，致使系统安全等级从“高置信”降级为“不可信”。

3、HIPAA

DOGE推进的GSAi聊天机器人计划，若接入卫生与公众服务部（HHS）数据库，将直接触碰《健康保险流通与责任法案》（HIPAA）。未经患者授权分析医疗数据，单次违规罚金可达5万美元。

4、国家安全法

国防反间谍安全局（DCSA）的国会背景调查数据属于“受控非密信息”（CUI）。根据《电子信息自由法》第552(b)(3)条，向无许可人员泄露CUI可构成E级重罪，最高监禁5年。

5、宪法第四修正案

ACLU指控DOGE的“数据清剿”构成非法搜查。若最高法院认定政府将公民数据作为“意识形态净化工具”，可能援引2018年Carpenter v. United States判例，推翻特朗普行政令的合宪性。

6、电子政务法

根据美国《电子政务法》第五章，联邦雇员向未经许可者披露受控非密信息（CUI）可构成E级重罪，最高面临5年监禁及25万美元罚款；国家安全律师布拉德利·莫斯（Bradley Moss）强调：“任何联邦雇员均无权仅凭DOGE徽章授予系统访问权限，总统行政令不具备法律豁免效力。”

此外，ACLU已提交《信息自由法》（FOIA）请求，要求公开DOGE通信记录及数据访问细节，并称将诉诸法律手段获取文件。

DOGE行动的“系统性风险”与“持续性数据泄露”

美国多位网络安全专家及前政府雇员指出，DOGE的行动已实质破坏联邦系统安全架构，可导致持续性数据泄露和严重的网络安全/国家安全风险：

1、权限失控

2、安全标准崩塌

3、跨机构威胁

OPM服务器直连DCSA背景审查系统，可能被用于篡改安全许可信息或制造外交危机；
多名拒绝配合DOGE的联邦网络安全雇员遭解雇或停职，导致财政部系统补丁延迟率从7天增至42天，未打补丁的旧系统漏洞暴露率激增300%，易被APT组织（如APT41、俄罗斯DarkSide）利用。
民主党议员格里·康诺利（Gerry Connolly）与尚特尔·布朗（Shontel Brown）警告，OPM服务器漏洞可能引发针对联邦雇员的精准钓鱼攻击。

4、GSAi聊天机器人争议