经过维基解密的多次调侃，2017年3月7日，泄密网站发布了一套名为Vault 7的文件。据称，这些消息是从中情局网络情报中心内部泄露的。为了配合Vault 7文件，维基解密准备了一份新闻稿，详细介绍了泄密的背景和主要发现。

然而，在它发布后的几个小时里，有许多耸人听闻的头条新闻声称WhatsApp和Signal等应用程序的加密遭到了破坏。尽管有广泛的报道，但事实并非如此。那么，7号金库的泄密究竟告诉了我们什么，我们应该担心吗？

什么是地下室7号漏水(the vault 7 leaks)？

Vault 7文件是维基解密（WikiLeaks）发布的一系列文件中的第一份，被称为“零年”，来自中情局网络情报中心。总共有7818个网页和943个附件，其中包括2013年至2016年间的文档、图像和其他文件。

尽管维基解密没有指出泄密的消息来源，但在他们的新闻稿中，他们确实表示，他们的消息来源“希望发起一场关于网络武器的安全、**、使用、扩散和民主控制的公开辩论”。

与以前的版本不同，维基解密在发布前对姓名和其他个人身份信息进行了编辑。他们在声明中还说，他们有意撤回某些信息，以防止“分发‘武装’网络武器”。

7号保险库里有什么？

Vault 7中的文件似乎来自一个名为Confluence的软件。Confluence是企业设置的内部wiki，通常在Atlassian服务器上运行。

众所周知，Atlassian服务器的安全性很难保证，这可能表明了这次泄漏是如何发生的。

作为一个内部协作工具，该版本包含了正在进行的项目、演示和技术文档，以及用于执行许多攻击的代码。尽管这其中有很大一部分被维基解密阻止了。

智能**黑客零日攻击

软件漏洞是不可避免的。他们经常被研究人员发现，并向开发者报告。开发人员将编写并部署一个修补程序，漏洞将被关闭。但是，如果攻击者在开发人员之前发现该漏洞，他们可以创建一个漏洞，称为零日攻击。

Vault 7显示，中情局可以访问他们使用的一些零日攻击，以损害Android和iOS设备。有趣的是，似乎已经投入了大量的努力，以确保这些开发将具体应用于三星设备。虽然Android的许多开发比iOS的开发要早，但还不清楚这是因为这些漏洞仍然在运行，还是将重点转移到了iOS上。显然，iOS设备投入了大量的精力，因为DBROOM开发的用户指南显示，几乎每一款iPad、iPod和iPhone都支持。

文件显示，中情局正在从其他组织那里购买许多剥削。正如爱德华·斯诺登在Twitter上指出的，这是美国**为保持软件不安全而付费的证据。当然，对于情报机构或经常使用这些剥削的网络罪犯来说，这并不罕见。不寻常的是，在这种情况下，**为了使公民不太安全而支付费用，因为**不披露这些剥削，以便他们能够得到修补。

哭泣天使&三星智能电视

你可能还记得，早在2015年，就有报道称三星电视可能在监视你。当时，三星断然否认了这一点，他们说，收集音频只是为了处理你的语音请求。事实证明，实际上三星智能电视可以监视你，多亏了中情局。

由嵌入式开发部门（EDB）运营的哭泣天使项目创造了一个漏洞，可以把你的智能电视变成麦克风，能够向中情局报告所有音频。根据2014年6月的一份文件，他们甚至计划添加视频捕获、实时流音频和禁用自动升级。

造雨机

Rain Maker工具允许中情局从计算机上收集系统数据和特定文件。该工具可以**到一个USB驱动器（或其他可移动媒体），一旦用户打开驱动器上的VLC媒体播放器的便携式版本触发。

捕获的数据将在可移动媒体上加密，稍后将进行解密。这意味着，为了使此漏洞发挥作用，CIA代理必须能够物理访问媒体驱动器。Rain Maker用户指南说，它只适用于Windows XP、Vista、7、8或8.1。尽管指南日期为2015年3月，但雨水**商有可能被扩展到支持Windows 10。

车辆控制系统

物联网运动让许多**商相信，在产品中添加互联网连接可以让产品变得更好。然而，有一些是你真的不想连接的——比如你的车。

虽然我们以前在Black Hat USA看到过乘用车被黑客攻击，但这是一个道德概念的证明。令人担忧的是，EDB似乎也在研究如何对联网车辆进行妥协。尽管Vault 7提供给我们的唯一信息是2014年10月的会议记录，但令人担忧的是，他们可能在我们的车上寻找零日漏洞。

指纹识别和陷害其他**

早在2010年，一种名为Stuxnet的电脑蠕虫病毒就已经感染了伊朗的核计划，并对其造成了损害。许多安全研究人员认为蠕虫是由美国和以色列****的。这是因为每次攻击都会包含一个“指纹”，可以识别特定的状态或黑客集体。

保险库7包含的文件显示，中情局正在维护一个已知的恶意软件，键盘记录程序，以及其他间谍软件和利用数据库。这是用来建立一个收集指纹从世界各地不同的国家在UMBRAGE项目。如果发现了攻击，他们可以利用这些指纹来误导攻击的归属。

这只是Vault 7中包含的攻击的一小部分。还有许多与Windows、Linux和Mac操作系统有关。这起泄密事件还显示，他们正在开发针对路由器的漏洞，并试图破坏杀毒软件。

虽然这些技术信息让人对中情局如何试图渗透其他组织和个人有了一个引人入胜、有时令人担忧的见解，但也展现出了更人性化的一面。许多功勋都是以书呆子文化中的人物命名的——比如哭泣的天使，大概是受宇宙医生的启发。

中情局窃听了whatsapp吗？

维基解密在Vault 7新闻稿中说：

These techniques permit the CIA to bypass the encryption of WhatsApp, Signal, Telegram, Wiebo, Confide and Cloackman by hacking the "**art" phones that they run on and collecting audio and message traffic before encryption is applied.

然后他们广泛分享了一条微博，强调“中情局（能够）绕过加密”。这导致大多数媒体组织以WhatsApp、电报和信号加密遭到破坏的标题运行。

不幸的是，这些媒体没有花时间深入挖掘，也没有考虑维基解密最初的声明。通过查看细节，很明显，这些应用程序中的任何一个加密都没有遭到破坏。相反，维基解密选择了发表社论。中情局曾利用零日漏洞攻击，以损害运行iOS和安卓系统的智能**。

通过破坏设备，他们将能够访问未加密的数据。这种方法与破坏加密机制不同。

你能相信维基解密吗？

根据他们的网站“维基解密是一个多国媒体……[它]专门分析和发布大量数据集的审查或其他限制性材料。”在现在臭名昭著的朱利安阿桑奇建立后，他们在2006年12月发布了第一个版本。

它在2010年公布了美国**的外交电报后，声名狼藉，享誉世界。电文公布后，美国对维基解密展开刑事调查。大约在同一时间，阿桑奇在瑞典被指控***和**，并要求引渡他。为了阻止他被引渡到瑞典或美国，阿桑奇向厄瓜多尔驻伦敦大使馆寻求庇护，他自2012年以来一直留在那里。与此同时，维基解密继续发布泄密消息，包括2016年美国总统大选前夕的DNC黑客和波德斯塔电子邮件。

据广泛报道，DNC和Podesta电子邮件的泄露是俄罗斯情报人员和间谍的工作。尽管俄罗斯和特朗普**一直对这一说法提出异议，但这一指控仍然存在。阿桑奇与美国关系紧张的历史让许多人相信，他与俄罗斯**一道行动，破坏对美国选举制度的信心，并帮助特朗普赢得总统宝座。据信，这是一些人的报复行为，前国务卿希拉里·克林顿据称在维基解密发布后建议阿桑奇遭受无人机袭击。

最终，这导致了对维基解密最新出版物的怀疑，因为他们认为不能相信该组织是公正的，特别是在美国**事务方面。

社论性误报

Vault 7版本也不同于以往的维基解密出版物。尽管维基解密倾向于提供背景和摘要，以他们的发布，新闻稿金库7似乎已编辑，以强调特定的方面。正如我们已经看到的，他们在新闻稿和推特上都对加密错误报道起到了推波助澜的作用。

似乎维基解密的工作人员在对话中加入了流行的加密应用程序，因为Vault 7的初始读数没有显示维基解密列出的任何应用程序。尽管许多媒体后来更正了他们最初的标题，以反映加密没有被破坏，但这些声明的持久印象可能会削弱人们对加密的信心。

这个版本的另一个特点是维基解密独立地编辑了7000多条信息。尽管他们过去也曾因为没有这样做而受到严厉批评，即使是爱德华·斯诺登，这种突然的变化也令人惊讶。这特别奇怪，因为维基解密本身曾说“每一个修订都是宣传”

最初的报告显示，7号金库内的文件是真实的，所以中情局利用流行技术的漏洞攻击个人的基本观点似乎是真实的。然而，关于这次发布的说法可能不像维基解密让你相信的那样公正。

你应该担心吗？

中情局有能力破坏我们每天使用的许多设备，包括我们的智能**、电脑、笔记本电脑和智能家居设备，这一事实让人极为不安。如果已经有人建议，在举报人之间传递了一年左右的Vault 7信息，那么泄漏中的漏洞很有可能掌握在世界各地的各种罪犯和其他**手中。

尽管这可能令人担忧，但仍有一些希望。Vault 7泄漏中列出的大多数漏洞至少都存在一年以上，而且有可能在后续版本中得到修补。即使他们没有，有一个很好的机会，现在这些信息是公开的，受影响的公司将努力立即修补他们。

另一个令人欣慰的原因是，尽管泄漏严重，但对于中央情报局设计的大部分利用，需要有某种形式的物理方式进入目标或其设备。这意味着，从我们迄今为止所看到的情况来看，没有像爱德华·斯诺登的NSA泄密案中看到的那样进行大规模监视的能力。事实上，大量的利用依赖于代理能够有效地执行社会工程来获得访问或信息。

事实上，中情局开发的工具，使他们能够监视外国组织和个人的利益不应该真的那么令人惊讶。中情局的全部目的是从世界各地收集****信息。尽管它打破了詹姆斯·邦德式间谍的古老传统，但金库7的泄密显示了情报界是如何进入数字时代的。

有什么好担心的？

虽然Vault 7是在第零年以下的一系列承诺发布中的第一个，但它让我们了解了中情局如何运作，因为情报收集已经转移到了数字。尽管他们的开发范围相当惊人，特别是iOS和Linux设备的数量，但这可能不像最初的说法所暗示的那样令人震惊。

正如特洛伊·亨特在推特上指出的那样，我们都期望我们的**尽最大努力保护我们和我们的安全，不让那些想伤害我们的人伤害我们，但当他们的努力暴露出来时，他们往往会受到批评。

虽然你被中情局盯上的可能性相对较小，但现在这些漏洞已经公开了，给自己做一次安全检查也许是明智的。确保你没有重复使用密码，使用密码管理器，让软件保持最新，并警惕社会工程攻击。

也许7号金库最让人担心的部分甚至不是这些功绩本身。第7号金库，或者说第0年的任何一个金库被曝光，表明尽管有可能接触到危险的“网络武器”，但中情局无法保护这些武器不被泄露给全世界看。

你对维基解密的最新版本有何看法？是有什么值得担心的还是你已经怀疑了？在今年剩下的时间里零泄漏将会是什么？请在评论中告诉我们您的想法！

图像学分：Gearstd/Shutterstock