五、隔空对决：中国网安企业与美国旋转门企业的斗争

2022年，听证会上的合奏紧逼与旋转门的加速转动相互呼应，使中国网络安全企业清晰感受到来自对手的针对性压力，凛冬骤临，生死存亡，反而激起了几家中国网安企业开始密集的威胁曝光和实证反击。

2月23日，奇安信发布“Bvp47-美国NSA方程式的顶级后门”；

3月2日，360发布“网络战序幕：美国国安局NSA（APT-C-40）对全球发起长达十余年无差别攻击”。

3月15日，安天发布“从‘NOPEN’远控木马浮出水面看美国网络攻击装备体系”。

9月5日和27日，中国国家计算机病毒应急处理中心和360发布“西北工业大学遭美国NSA网络攻击事件调查报告”之一和之二。

2022年这些集中发布的报告将美方的网络攻击样本与过程揭示出来。这是全球网安业界十几年来持续揭露美国情报机构网络攻击的长途接力赛的一次中途冲刺。在这场远比马拉松更艰苦、漫长的征程中，已经经历了三个阶段。

第一阶段从2010年的“震网”事件触发，围绕“震网”“火焰”“毒库”“高斯”系列样本的攻击活动、样本同源性与关联展开。此时卡巴斯基等国际企业担纲主导，中国安全企业积极跟进，也取得部分独家成果。但直到2013年的斯诺登事件出现，全球业界才发现这些只是冰山一角；

第二阶段是从方程式组织（隶属于NSA）被发现开始，全球业界围绕其硬盘固件持久化能力、积木化载荷、复杂通信加密、多平台样本，和其组织的“原子化”作业模式等展开，并逐渐证明方程式组织与震网密切相关；安天以率先破解其加密指令、率先曝光Solaris、Linux等平台样本，获得国际关注；

第三阶段则是围绕“影子经纪人”维基解密等泄露的大量美方漏洞利用工具和恶意代码武器，包括中国安全厂商在内的全球业界和研究者展开更深入的拼接分析和复盘。

2023年4月11日，中国网络安全产业联盟发布的报告《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》基本完整复现了这场漫长而艰难的斗争。中国外交部在记者招待会上介绍了这篇报告。

面对中国网安关键企业不惧“打压”的威胁，反而以持续输出技术揭露做出的反击，美方终于一改不回应的态度，正在努力成为保送生的SentinelOne跳出来混淆视听。在卡里等人的操刀下，2024年2月12日，一篇题为《中国的网络报复——中国为何无法支撑其对西方间谍活动的指控》（China’s Cyber Revenge/Why the PRC Fails to Back Its Claims of Western Espionage）的报告在网上发布，对中国三家网络安全企业360、奇安信、安天及中国网络安全产业联盟（CCIA）等机构揭露美方情报机构网络攻击的相关报告进行歪曲解读。

该报告一改美方智库人物习惯性夸大中国网络安全能力，为其情报机构和军工复合体争取巨额预算的套路，而是开启一波对中国企业分析溯源能力很差的“嘲讽”，攻击中国网络安全企业发布的分析成果或者是跟进国际厂商卡巴斯基，或是依赖美国情报机构泄漏的资料，因此中国厂商的报告对美国没有指控力，这让中国安全业界愤怒了。美方的逻辑是典型殖民时代的侵略者傲慢，将被殖民、被侵略和被伤害者的艰难反抗视为一种原罪。

3月21日，安天回敬了《如何让“鹰鹫”在迷雾中显形》报告，该报告相对完整地回顾了安天从震网事件以来跟踪分析美方网络攻击的过程，公开了多处此前未发布的技术细节，对比多个工作时间线，介绍了分析曝光Solaris、Linux、iOS平台的攻击样本，破解了样本加密机制等过程，证实了中国安全企业的自主发现能力。

安天的工程师也开启了反向嘲讽：“如果我们不向SentinelOne（我们愿意称呼他们为美国同行）点破若干他们视而不见的真相，包括向他们分享一点我们（也包括国际网络安全业界）对APT分析工作的真正理解，就不足以让人们看清SentinelOne报告貌似专业、甚至‘公正’的梳理和分析下面隐藏的对世界的欺骗。”报告最后以“施害者不因施害的高明而高贵，反抗者不因反抗的艰难而卑微”作为结束语。

七个月后，卡里突然在X上发起了对安天的“政治喊话”，而且回应了安天的“我们愿意称呼他们为美国同行”。他说：“我向他们的研究团队表示歉意。如果我能更直白地表达我的担忧：中国网络安全公司因国家保密法而无法发布独特的归因数据和分析，对于任何世界级研究人员来说，这显然非常令人沮丧，安天的许多员工都是如此。我并不是要贬低你们的分析，而是要指出你们的分析报告似乎在其他（国际）公司发布相关报告之前受到限制。你们的卓越表现受到了压迫性政府的束缚。不必担心我们是否是同行，因为我相信我们是同行。”显然，这是赤裸裸的政治引诱加挑拨。

在安天不予理睬后，卡里在炒作MAPP的中国威胁，推动“微脱钩”之时，就再次对安天“集火”。

六、净评估：网空战争的准备

2025年7月8日，长期为美国防部高级研究计划局（DARPA）等机构提供服务的“边缘研究”公司（Margin Research）发布了题为《动员网络力量：网络民兵在中国网络战力量结构中的作用日益增强》（Mobilizing Cyber Power: The Growing Role of Cyber Militias in China’s Network Warfare Force Structure）的长达75页的长篇报告。这份报告重点关注中国网络安全公司在国家网络民兵建设中的作用和实践，特别用专门章节将360和安天作为案例单独研究，认为这两家企业是中国网络民兵的运营样板。

报告的作者基兰·格林（Kieran Green）也是美方网络空间安全方面的重要智库人物之一，曾短暂在美国国防大学担任助理，之后长期在美国军工承包商埃克索维拉（Exovera）公司担任面向中国情报高级分析师。该公司在2024年9月因向中国台湾地区出售武器，被中方制裁。

格林展示了其团队极强的开源情报分析检索能力，在报告的附件中，通过互联网公开信息汇聚梳理出了中国136支网络民兵的基本情况表，还一一标注了地理坐标。但格林的美式旋转门思维在报告中暴露无疑，他认为中国网络安全企业“通过成立一个规模庞大、具有可操作性的网络民兵单位，将政治信号转化为制度实践，这表明对国家安全目标的支持不仅成为爱国主义的标志，也成为获得商业机会和监管优惠的战略途径”。显然这是对中国国防动员机制的误解。格林在报告中更对安天的创始人，全国政协委员肖新光做了大量分析解读。

2025年7月18日，美国科技媒体“连线”刊文引用美政府智囊专家相关研究，并关联瑞士联邦理工学院安全研究中心（CSS）关于中国“红客”系列报告，重点梳理所谓参与 “国家网络活动”的民间“黑客”力量。

2025年8月13日，意犹未尽的格林又发布《网络民兵重现：或者，“为什么你的老板也可能是你的中国排长》”(Cyber Militias Redux: Or, "Why Your Boss Might Also Be Your Platoon Leader in China")。

从2022年“反华合唱班”在听证会的亮相，要求超越点名羞辱，直接打压中国网络安全企业，再到“边缘研究”的中国网络民兵报告，传递着一系列值得关注的信标。从历史上，美方政府部门、情报机构、智库和旋转门企业评估重点是中国人民解放军和中国的国家安全机构，而今天美方的评估活动，已经全面覆盖中国网安产业和重点企业、民间人才等各个方面，已经构成了全体系、全方位、全链条的能力净评估。

相关人士指出：这是美方在网络空间全面分析中国的家底，是筹划发起网络战争的重要信号。