本周末的影子经纪人泄密事件将3亿字节被盗数据投放到了开放网络上，其中包括一些网络最关键的网络基础设施的实时漏洞，这些数据显然是2013年从美国****局（NSA）窃取的。不过，尽管专家们仍在清理谁窃取了数据以及如何窃取数据，但这些新的漏洞也让思科（Cisco）、Fortinet和Juniper等公司争先恐后地修复最新发布的针对其系统的攻击。突然间，有了一种新的方式进入多年来一直被认为是安全的产品中——任何下载数据的人都知道如何进入。

保护这些设备的争夺战已经开始，但它提出了新的问题，即****局如何发现和开发破坏安全产品的方法。无论幕后黑手是谁，在发布这些漏洞之前，都有三年的时间可以接触到这些漏洞，从而使它们完全颠覆了一些最流行的网络保护设备。这对用户、公司和任何在受保护的网络上被抓到的人都是一种威胁——不管是有意还是无意，这似乎是美国****局所做工作的直接结果。这就提出了一个令人不安的问题：三年前美国****局是否应该告诉这些公司他们软件的弱点？

思科“立即对这些文件进行了彻底调查”

所涉及的漏洞是严重的。其中一组漏洞针对Cisco的Adaptive Security Appliances，这是一种经常用于保护大型数据中心的网络防火墙设备。这些漏洞使得攻击者可以在没有用户名和密码的情况下，伪装成SNMP数据，突破防火墙。另一次攻击利用板载cookie解析器缓冲区中的漏洞触发了Fortinet的FortiGate防火墙中的远程代码执行。

目前还不清楚国安局是否意识到这些漏洞已经被泄露。影子经纪公司的元数据显示，黑客最有可能发生在2013年，但对于可能的罪魁祸首是外国情报局还是内部威胁，以及情报局是否意识到发生了盗窃，各方存在重大分歧。

但是，如果美国****局意识到这些攻击落入了坏人之手，那么不报告这些攻击的决定很可能在这几年中造成了重大的妥协。无论是谁泄露了这些漏洞，在过去的三年里似乎都能持续接触到这些漏洞，如果罪魁祸首真的是俄罗斯情报部门，他们就有充分的理由使用这些漏洞。结果会比诸如Heartbleed或Shellshock之类的虫子更具破坏性，这两种虫子都是在被发现后几天修补的。

影子经纪公司的垃圾场导致了所有受违规影响的公司的紧急清理行动。思科代表在一份声明中说，该公司“立即对这些文件进行了彻底调查”，确认了这两个漏洞，并于周三发布了安全警告。Fortinet在同一天发布了相应的补丁。

Juniper还没有发布任何基于垃圾场的安全警告。

Juniper尚未就其出现在影子经纪人垃圾场发表评论“我们目前正在审查与据称来自Equation Group的披露有关的所有可用信息，并将分析任何可用的新信息，”一位发言人在接近边缘时说如果发现产品漏洞，我们将解决问题，并通过标准的Juniper安全咨询流程与客户沟通。”今年早些时候，Juniper的NetScreen产品中的一个漏洞引发了人们的猜测，即该公司可能与情报机构合作颠覆了自己的产品。Fortinet没有回应置评请求。

在每一个案例中，结果都是对每家公司及其客户来说都是非常糟糕的一周，如果这些漏洞早在2013年就被披露的话，痛苦本可以避免。对批评者来说，这表明**没有考虑附带损害。”美国****局搞砸了，就得由美国科技公司承担声誉成本，”美国公民自由联盟首席技术专家克里斯·索吉安（Chris Soghoian）说，他长期以来一直主张更严格的信息披露要求****局可以避免所有与其错误相关的不愉快。”

“****局可以避免所有与其错误相关的不愉快。”

关于如何以及何时披露美国**机构发现的漏洞的决定取决于漏洞权益程序，这是总统制定的一项复杂的政策指令。尽管EFF尽了最大的努力，但这在很大程度上仍然是秘密，但总体原则是平衡漏洞的潜在危害和它对情报机构的有用性。不过，目前还不清楚漏洞何时触发了这种检查，而且很难说影子经纪公司投放的漏洞是否经历过这个过程。

这仍然是一个有争议的系统，引来了公民自由组织的批评，因为他们没有披露足够的信息，而情报界的许多人认为这是在没有改善供应商整体安全的情况下烧掉有价值的漏洞。

对索霍安人来说，问题在于该组织本身的构成，该组织主要由情报、军事和执法代表组成，但不包括FTC、商务部或国家标准与技术研究院等组织，这些组织可能更适应这些漏洞一旦被释放可能造成的损害。”如果他们不在房间里，那么VEP就不会有任何进展他们需要一个平等的声音。”

与此同时，思科、Fortinet和Juniper都在为自己的产品和声誉辩护。现在补丁已经部署，最艰难的工作已经结束，但长期前景还不太明朗。”每次美国****局搞砸了，他们都会让美国科技行业看起来很糟糕世界依赖于美国的软件和硬件，如果我们想继续这样做，那么可能代价就是美国****局不得不有所收敛。”

更新时间：美国东部时间8月19日下午3:19：更新了Juniper的评论。