多年来，活动人士和各国**一直在游说，要求对间谍软件和为其提供动力的研究进行更多的控制。与此同时，安全研究人员警告说，对脆弱性研究的出口管制将意味着管制信息流动。现在，这些法规中的第一条终于传到了美国——安全界再愤怒不过了。

这些提议来自于2013年制定的一项名为瓦森纳安排的国际协议。它涵盖了各种技术的出口规则，为各国在技术和软件跨越国际边界时如何发放许可证提供了广泛的指导方针。该协议将执行细节留给各个国家，美国商务部现在才赶上。周三，国防部工业和安全局（BIS）发布了关于如何计划实施Wassenaar信息安全部分的拟议规则。这些规定将在未来两个月内公开征求意见，让任何与此事有利害关系的人都有发言权。

“入侵软件是磨砺盾牌的利剑。”

到目前为止，来自安全界的评论一直很激烈。研究人员特别担心的是，一项措施将对任何与入侵软件有关的工作建立新的控制。这些措施是英国代表团在FinFisher等间谍软件植入在国外残酷压迫的政权中流行之后提出的。这些植入物通常在西方国家**，并出口到巴林和叙利亚等压迫性的**，但除了有关加密的法规外，没有涵盖该软件的出口管制。

尽管如此，安全世界的许多人认为瓦森纳规则是比疾病更糟糕的治疗方法。几乎所有的安全研究都与入侵受保护的系统有关，目前还不清楚该法案将限制哪些内容。研究人员经常开发和销售未公布的漏洞（称为零天），许多人担心新法规可能会完全压垮这个市场。瓦塞纳尔对科学研究或公共领域软件的豁免似乎也被取消，让学术研究人员无处可去。

著名的安全软件开发商Marsh Ray表示，这些控制措施将改变整个行业，甚至会给防御性的安全研究人员带来问题[“入侵软件]是磨砺盾牌的利剑，”雷说如果不自由开放地使用攻击者的最新技术，就不可能建立有效的防御。”

“**监管限制了真正的攻击者可以使用的工具，这种情况永远不会发生。”

问题的双方仍有很多不确定性，这只会加剧对过度监管的担忧。”国际清算银行官员在周三的一次电话会议上说：“脆弱性研究是不受控制的。”可以控制的是开发、测试和生产利用漏洞或入侵软件。”但许多公司在看到可以利用漏洞的证据之前不会认真对待漏洞，这使得很难准确地说出研究的终点和开发的起点。

在某种程度上，这些事情还不清楚，因为商业还没有决定所有的问题。国际清算银行（BIS）官员在最近的提议中留下了很大的回旋余地，并直截了当地表示，仍有一些问题尚未决定，等待评论期的更多反馈。一直在关注这一过程的研究人员柯林·安德森（Collin Anderson）说，大部分不确定性只是因为商务官员希望了解更多信息。”在提到最近的BIS声明时，Anderson说：“对于提议的漏洞利用规则所涵盖的内容，并不总是很清楚。”很明显的一点是信息的缺乏。“在某种程度上，这就是评论期要解决的问题，但很容易理解为什么这种不确定性会让研究人员感到紧张。如果规则制定过程打破了错误的方式，很容易想象简单的漏洞会受到与军用计算机或**相同的限制。

“安全部门需要参与进来，以便制定一项不伤害他们的公共政策。”

限购令的基本结构也令人担忧。即使是受到严格限制的商品，只要有适当的许可证，也仍然可以出口，这使得许可证制度在更广泛的范围内对安全行业拥有巨大的权力。但这个体系既不透明又可能不一致，导致许多人担心，对**友好的供应商和政权会在体系中溜走，而小企业则会萎靡不振。

同时，更有力的许可可能不会影响罪犯和愿意超越法律的压迫政权。”“**监管限制了真正的攻击者可以使用的工具，这种情况从来没有发生过，”雷说叙利亚**能够获得足够的“蓝衣中间人”TLS拦截系统，用于对付整个国家，叙利亚是世界上出口管制最严格的政权之一。”

对研究人员来说，好消息是，商务部似乎急于保持规则制定过程尽可能透明。这种措施很少有两个月的评论期，许多类似的贸易协定都采用了完全没有评论期的做法。商务官员如此积极地征求意见表明，他们理解这些问题有多么复杂，并为研究人员的强烈回应敞开了大门。”安德森说：“在这一点上，安全部门需要参与进来，以便制定一项不会伤害他们的公共政策。”国际清算银行需要安全界的反馈，他们显然是在要求反馈。”