周五下午，美国选举官员得到了一个令人不快的惊喜。安全公司Cylance发布了一份报告，披露了对流行的红杉AVC Edge投票机的新攻击，可能危及该机的公众投票记录和一个称为保护计数器的备份。附带的一段视频显示了攻击是如何发生的，通过机器前端的固件端口攻击底层软件。在选举季节的最后一段时间，选举结果令人震惊地提醒人们，许多投票机仍然是多么脆弱。

自2007年以来，研究人员一直在关注AVC边缘，但它仍在100多个县使用，包括备受关注的摇摆州，如佛罗里达州和内华达州。Cylance的攻击是有限的，需要持续的物理访问和完整的电源循环来改变包含机器最终投票记录的盒带。尽管如此，对于任何关心选举公正性的人来说，这都是一个令人震惊的景象，让选举委员会几乎没有时间作出回应。

对一些安全专业人士来说，在特朗普竞选班子频频指控选举被篡改的情况下，在选举前四天发布演示稿就越过了界限。”这一披露似乎具有政治性质，”臭虫赏金专家、Luta security创始人凯蒂·穆苏里斯（Katie Moussouris）说在国土安全部和各州多年来意识到这类袭击之后，公开发布这一消息只会助长对选举结果的怀疑。这是一个既不帮助安全又破坏民主进程的案例。”据路透社报道，50个州中有48个州接受了国土安全部的帮助，以防范此类袭击。

赛伦斯在边缘发表了评论，为这一披露进行了辩护。”该公司在一份声明中表示：“近十年来，对投票机漏洞进行了深入研究，并在本次选举周期中得到了很好的报道，但这些漏洞尚未得到充分解决。”在这个特殊的案例中，我们测试了潜在的投票机漏洞，一旦发现真实世界的漏洞，我们相信我们有责任通知公众，当局、州选举官员和志愿者允许他们改进安全措施，确保我们的选举的神圣性。”在公布之前，该漏洞已向红杉和选举官员披露。

但据普林斯顿大学研究员安德鲁·阿佩尔（Andrew Appel）称，赛伦斯的攻击很容易被传统的审计技术击败。今年早些时候，Appel在一台类似的红杉计算机上展示了漏洞，并表示，对于AVC等计算机的安全性仍存在严重担忧。但至关重要的是，Cylance攻击的重点是在投票结束后更改机器的结果墨盒，这意味着结果已经打印出来并由选举官员签字。真正的统计数字也将存储在机器的闪存中，因此在发现差异后，很容易恢复到原始总数。

“如果对结果盒带有任何疑问，可以将其与计算机的打印输出和闪存进行比较，”Appel说现在，如果这台机器在选举前被黑客入侵，它可能会在所有三个地方都写下糟糕的结果——但这似乎不像他们在这里展示的那样。”

这使得选举官员处于一个棘手的境地。对于所有的争议，Cylance确实在红杉的投票机中发现了一个缺陷，如果在Flash或Chrome中发现类似的缺陷，负责的公司将急于修补。但由于没有明确的修复措施，而且许多机器已经用于提前投票，最好的防御措施是严格审计和保护对机器的物理访问——这是大多数选区已经在做的事情。

结果让我们回到选举安全的基本面：即使有脆弱的机器，最大的风险也只是传播混乱。在选举前的最后几天，一个棘手的问题是，宣布更多的脆弱性是否弊大于利。