连环计:社交平台锁定目标→伪装同行前辈→从分享兴趣到关心带动→利诱提供内部资料→遇抗拒则以隐私要挟
暗度陈仓:包装成商业合作/学术调研/扶贫济困→以"完善报告"为由诱导泄密
美人计:打造"白富美""高富帅"人设→高频聊天+共情表达→建立亲密关系→以曝光隐私胁迫
来源:微博收集/2026-05-10.md # 长安街知事 14:56近期国家安全机关连续发布系统性通报,所披露的间谍策反手段和信息安全威胁呈现两个显著特征:手段的心理化升级和技术缝隙的利用深化。这些通报信息为我们提供了一个观察境外间谍活动演进趋势的结构性窗口。
一、策反手法的心理学转向
5月10日,国家安全部发布了题为《如何防范图谋不轨的"他"?》的系统性警示,拆解了境外间谍情报机关的三个经典操作模板:
“
Quote — 国安部系列通报
这三个操作模板的一个共同特征是心理上的渐进式策略——不从最危险的要求开始,而是从最小、最无害的"合作"入手,通过持续的正向反馈(金钱、情感、认可)逐步升级要求,使目标在不知不觉中越过红线,形成「想回头已太晚」的心理困境。
二、四阶段策反案例——干部的沦陷
5月11日,国家安全部披露的吕某一案,是上述操作模板的一个完整实证:
“
Quote — 保密观通报
第一阶段:精准定位(2021年1月)。 某机关单位四级调研员吕某在职业社交网站上结识自称在某战略公司研究机构工作的境外人员李某。初次接触李某直接询问吕某的工作单位——吕某毫无戒备地全盘托出。
第二阶段:钓鱼试水。 李某以"课题撰稿"邀请吕某参与,以"高额稿费"为诱饵,布置敏感话题的专项稿件。吕某利用单位公开资料和手头积累撰文投稿,顺利获取报酬。
第三阶段:要求升级。 李某开始要求"未公开发表的内容",报酬大幅提高,对敏感问题表现出异乎寻常的关注。吕某心生疑虑但选择继续。
第四阶段:直接索取。 李某要求提供"现有的协议、文书等材料",此时吕某已完全确定李某是间谍,但因害怕法律制裁和自我欺骗,仍将纸质材料拍照发送。
结果: 自2021年初至12月期间,吕某共提供22篇涉密文章,收取两万余元人民币。2022年6月吕某投案,最终因间谍罪被追究刑事责任。
来源:微博收集/2026-05-11.md # 长安街知事 07:47四阶段连锁推进中存在的关键机制是——每一阶段的设计都让"退出"的心理成本高于"继续"。吕某在第二阶段结束时可以选择停止,但需要解释为什么不再合作;在第三阶段结束时已经意识到不对,但已经越过法律红线;到第四阶段则完全陷入「骑虎难下」的心理僵局。
ℹ️
Note — 心理机制分析
本案的核心经验不在于"欲望驱动",而在于自我欺骗机制的维持。吕某"完全确定对方是间谍后,仍继续合作"揭示了关键困境:承认自己是间谍行为参与者的心理痛苦,大于继续行为本身的心理负担。这种「承认障碍」是策反链中最重要的心理节点——越早打破自我欺骗,代价越小。
三、蓝牙与近场技术——信息窃密的新维度
同日(5月11日),国家安全部还发布了关于蓝牙技术安全风险的警示,揭示了技术缝隙被利用的另一张面孔:
“
Quote — 国安部蓝牙警示
静默监听:利用未修复固件漏洞静默强制配对,接管音频播放和麦克风
数据窃取:利用不认证指令来源的配对模式,控制设备盗取推送信息
固件篡改:拦截PIN码验证环节,重写设备固件使设备"叛变"
实施跟踪:监听分析蓝牙信号,通过设备地址关联用户活动轨迹
来源:微博收集/2026-05-11.md # 长安街知事 07:16技术维度与人际维度的交叉风险是当前最大的安全问题。传统的反间谍架构往往假设"违规泄密"是通过人的弱点来实现的,而蓝牙类近场攻击则独立于人的意志之外——你不需要被策反,设备本身就可以被"策反"。这种"人+机"双重防线的同时攻破,使得安全防御需要同时处理社会工程攻击和技术渗透两种威胁向量。
四、三重非对称的渗透格局
综合上述通报,当前境外间谍渗透格局呈现三重非对称:
一、机会非对称。 间谍只需要找到一个突破点——一个贪财的干部、一台未打补丁的蓝牙设备、一段未被拦截的社工对话——而防御方需要守住所有可能的缺口。这种「攻击易、防御难」的非对称意味着漏洞几乎是结构性的,关键不在于消灭所有漏洞,而在于建立及时发现和止损的机制。
二、成本非对称。 间谍策反的成本(一个假身份、几场微信对话、几千元稿费)与泄密造成的损失(国家安全级别的损害)之间存在巨大的量级差距。吕某一案中,两万余元人民币的报酬就换来了22篇涉密内容——平均每篇不到1000元。
三、时间非对称。 间谍可以等待数月甚至数年慢慢培养目标,而防御机制的更新往往滞后于威胁的演化。吕某从2021年1月初次接触开始到当年底持续泄密——接近12个月的活动周期,说明现有的监测机制对「慢速攻击」的反应灵敏度不足。
ℹ️
Note — 值得关注的信号
国安部在同一天(5月11日)集中发布多条警示(谍案例分析+蓝牙安全+警惕完美异性),分别在07:16、07:47和此前5月10日14:56,构成密集的信息输出。这种集中发布本身可能暗示了一个信号:当前境外间谍渗透的主动度和频率正处于一个周期性高峰,且与伊朗战争、中美博弈等宏观战略背景的时间重叠不是偶然的。
五、间谍策反的「三十六计」——战术图谱
5月11日深夜,长安街知事发布了一篇覆盖范围极广的系统性分析,将境外间谍的渗透手法概括为"三十六计"式的战术谱系:
连环计——从兴趣到控辩的心理压迫链。 境外间谍通过伪装同行或前辈接近涉密人员,以共同兴趣逐步建立信任,再以利诱或胁迫层层加码。典型案例是2011年某军工科研院网络管理员陈某案:被境外人员以高额报酬诱骗提供情报,欲退出时遭对方以已交情报要挟,最终泄露5000多份内部文件。这一压力的结构是信息不可逆性——一旦交出第一批真实文件,即使只是外围信息,也已将自己置于"间谍行为的既遂状态"。
美人计——情感杠杆与胁迫杠杆的叠加使用。 长安街知事披露了更为完整的案例细节:某国企人员李四出国考察时,被"导游"引入色情场所,遭境外间谍以"艳照"要挟,被迫加入间谍组织;工程师黄某留学期间出轨一名男子,为对方将身在政府部门的丈夫拉下水,潜藏17年后被抓获。这两个案例的共同特征是将私德缺陷转化为制度性屈服——间谍机构不关心目标的私生活,但等待并利用私生活暴露的那一刻将其降级为"可控资产"。
暗度陈仓——合法外交下的渗透伪装。 境外间谍将策反包装成"商业合作""学术调研""扶贫济困"等正当活动。例如有境外间谍以"合作制种"为名、高额报酬为饵,诱使境内人员非法提供携带原始基因信息的亲本种子。这一战术隐蔽性的根源在于制度同构——间谍活动的表象与学术机构日常从事的国际交流几乎无法区分。
无中生有——社交媒体评论区的认知作战。 部分境外间谍情报机关利用网络社交媒体评论区窃取国家秘密,或大肆散播谣言扰乱认知,或炒作对立话题激化矛盾。这一维度的特殊之处在于它不追求"一次性的信息泄露",而是追求持续的舆论环境污染——通过污染公共辩论的信息可信度,使任何源自官方渠道的真实信息都先经历怀疑。
ℹ️
Note — 战术迭加的意义
这四种战术手法构成了一个从人际接触→情感突破→业务伪装→舆论掩护的全链条模式。单独一种的穿透力有限,但四种战术同时使用时,会形成几乎无法通过单一防御措施应对的复合威胁场景。传统反谍培训("警惕陌生人")在这四种战术的组合攻击面前显得过于原始。
六、APP授权——数据型渗透新入口
5月13日清晨,国家安全部通过长安街知事发布APP授权安全分析:
“
Quote — 国安部APP授权警示
多款APP存在"未经用户同意收集使用用户个人信息""未提供应用账号注销服务""强行捆绑推广其他应用软件""强制索取位置信息"等情况。
来源:微博收集/2026-05-13.md # 长安街知事 07:53
国安部提出"三层防御"框架:严选渠道慎启弹窗→按需授权定期检查→主动监测强化防护。
ℹ️
Note — 两条战线、同一目标
APP授权风险与"三十六计"战术谱系的不同之处在于:三十六计描述的是以人为目标的行为型渗透(策反、利诱),而APP授权漏洞描述的是以终端为入口的数据型渗透(被动采集)。两者结合构成了"人际合纵+数据覆盖"的混合型威胁场景——间谍通过广泛的数据采集筛选出有价值的目标,再对其展开定制的策反行为。
七、海淘渠道——消费行为本身即风险
5月15日,国家安全部发布系统性安全警示,聚焦"海淘"渠道的信息安全风险,将威胁源从"人际接触"和"技术漏洞"扩展到了消费行为层:
📋
Abstract — 海淘"三暗藏"框架
1. 数据采集层——身份信息的大规模外泄。 海淘涉及用户的银行账号、寄送地址、联络方式等个人信息。若用户为涉密岗位工作人员,身份信息一旦泄露,就会引起境外间谍情报机关的注意。
2. 问题商品层——违禁品的渗透通道。 境外不法分子在电商平台上注册网店,销售违反中国法律法规的违禁物品。
3. 科技潮品层——智能穿戴设备的窃密装置。 消费者购买的智能穿戴设备可能已被植入微型窃密装置——自动采集地理位置、通信内容、人脸数据。
这标志着对信息安全的认知从一个事件型风险(被间谍接触、被技术攻击)升级为过程型风险(日常消费行为中的被动渗透)。从"人能做的事"到"手机会做的事"再到"买回来的东西会做的事",渗透入口的扩张呈现出场景全覆盖的趋势。
ℹ️
Note — 渗透入口升级链
• 5月11日:人际接触→主动策反(三十六计战术谱系)
• 5月13日:技术漏洞→APP授权被动采集(数据型渗透入口)
• 5月15日:消费行为→跨境购物全链条渗透(消费型渗透入口)
• 5月20日:基础设施→路由器跳板窃密(网络基础设施层渗透)
从"人能做的事"到"手机会做的事"再到"买回来的东西会做的事"最后到"路由器本身即风险",渗透入口的扩张呈现出场景全覆盖的趋势。国家安全部在十天内密集发布五篇互不重叠的安全警示,反映了安全机关对当前信息化社会中"保密度"的全方位评估。
八、路由器跳板——消费电子设备作为渗透入口的新维度
5月20日,国家安全部发布最新安全警示,聚焦路由器作为境外间谍跳板的新型网络渗透模式。与前三轮警示相比,本次将渗透入口从"个人设备上的应用层"进一步下沉到了网络基础设施层——用户尚未进入任何网站、未安装任何APP时,威胁已经存在。
⚠️
Warning — 攻击链的完整路径
1. 入口层:境外间谍通过控制境内多台路由器(利用未更新的固件漏洞或弱口令),获得网络层面的访问权限——广泛的控制网络,将路由器当作匿名的攻击跳板。
2. 投送层:从被控路由器向重点单位工作人员投送伪装为"XX评审工作的邀请函""XX违章催缴通知"的钓鱼邮件。
3. 欺骗层:用户点击链接进入伪造登录页并输入密码后,系统以"密码错误"诱导二次输入——确保凭证的准确匹配。之后跳转至正常页面"麻痹"用户。
4. 利用层:获取登录权限后,攻击者定时登录邮箱窃取敏感邮件——不是一次性导出,而是持续的通信监听。
三个不同于既往模式的判断维度:
第一,入口从"人"下移到"设备"。 此前的策反模式以人的弱点为切口;APP授权与海淘以消费行为为切口;本次的路由器跳板则以用户完全不感知的网络设备为切口。三者构成了从社交层→应用层→基础设施层的递进,每一层都不依赖上一层的成功渗透即可独立运行。
第二,"鱼叉式"定位的精准度提升。 本次攻击从被控路由器的网络数据中筛选出重点单位人员作为目标——即使路由器本身没有存储敏感数据,其流量模式(谁在什么时候访问了什么网站)已足以完成目标画像。
第三,路由器被控的"隐蔽性"既是威胁也是防御线索。 路由器被控的典型外部特征——更新维护停止(过时固件)、设备配置不当(弱口令/默认密码/远程管理开启)——与应对方案(恢复出厂设置、重设密码、关闭远程管理)高度对称。
ℹ️
Note — 六轮警示的"入口全覆盖"模式
从5月11日到5月20日,国家安全部在10天内发布覆盖六条独立维度的安全警示:
• 5.11(人际):社交接触→心理防线
• 5.11(技术):蓝牙设备→设备边界
• 5.13(应用):APP授权→数字权限
• 5.15(消费):海淘渠道→消费行为
• 5.20(网络):路由器跳板→基础设施
• 5.20(社会动员):人民战争→社会防线
六种入口覆盖了从社交→设备→软件→消费→网络→社会的全部场景,每一种都取材于真实案例——无论民众的生活习惯如何,都能在其中找到"自己可能也会中招"的切身感知点。
九、「人民战争」的叙事升级——从技术防范到社会动员
5月20日傍晚,北京日报同题发表长篇评论员文章(长安街知事19:29),以同一组路由器窃密案件为出发点,但将叙事视角从「技术防范」转向了「社会动员」。与当天清晨国安部的官方通报相比,这篇文章增加了三个层面的延伸:
第一层:攻击场景的补全。 文章补充了一个此前未被报道的先前案例——境外间谍冒充电商平台向某涉密单位工作人员寄送内置木马程序的U盘,最终成功入侵单位内网。路由器案例主打「隐蔽控制」,电商U盘案例主打「物理植入」——两者合并揭示了境外间谍不再依赖单一渗透路径,而是同时部署多条相互独立的通道。
第二层:社会参与的框架构建。 文章提出了一个清晰的三段论:境外间谍手段"越来越瞄准普通人的疏忽与认知盲区";反间防谍是"一场需要全社会共同参与的人民战争";普通人"把自己视为防线上的最后一环"。这一叙事结构将国家安全从"职能部门的事"转化为"每个人的事",目的在于覆盖职能部门触达不到的盲区。
第三层:典型案例的示范效应。 文章直接引用了近年来国安部发布的民间反间案例——网约车司机智斗境外间谍乘客、钓鱼爱好者举报"捕蝶人"异常行为、大学生发现有人网上售卖国家秘密——用具体人物故事替代抽象警示。从抽象警示到具体榜样的转换,是传播策略上的关键升级。
📋
Abstract — 从技术防线到社会防线的跃迁
与前六次警示(5.11人际→5.11技术→5.13 APP→5.15消费→5.20路由器→5.20社会动员)合在一起,国家安全部在10天内完成了从技术防护到社会动员的全覆盖——这是公开安全警示密度和策略多样性都相当少见的传播操作。
十、航天工程师的十二年之痒——985博士间谍案的三维度分析
5月25日清晨,长安街知事发布了一个新的间谍案例——朱某案——其在三个方面提供了此前已写入本文的案例所不具备的新证据维度。
⚠️
Warning — 跨案例量级对照
朱某案:985高校博士(2006-2018)→多家航天科研院所工程师→非法获利59.64万元→判刑15年
吕某案(前文):机关四级调研员→22篇涉密文章→两万余元报酬
两案的量级差异——从"两万"到"六十万"——反映了所涉情报层级的本质差距:机关干部接触的是政策文件层面的信息,而一线科研工程师手中的技术参数和设计方案具有可直接转化为军事能力的情报价值。
第一维度:涉密层级的提升
朱某的身份序列是:985高校博士(2006-2018年)→多家航天科研院所工程师→长期接触航空航天和军事技术领域的涉密文件和资料。与吕某(四级调研员,机关中层)和此前其他案例中的一般涉密人员相比,朱某的985博士训练背景+直接从事航天科研的一线工程师身份,意味着他手上掌握的技术资料层级和军事价值更高。案中提及的关键细节是非法获利人民币59.64万元——对比吕某案的两万余元,量级上的差异反映了两个案件所涉情报价值的层级差距:机关干部提供的更多是政策文件层面的信息,而一线科研工程师手中的技术参数、设计方案具有可直接转化为军事能力的情报价值。
第二维度:十二年之久——「慢速攻击」的最长实证
案件的起止时间是2006年至2018年——跨度12年。这是一个极端的「慢性渗透」案例:境外间谍代理从朱某还在攻读博士阶段就开始接触,期间的持续利用覆盖了他从研究生到资深工程师的完整职业爬升曲线。这种操作意味着间谍机构不仅要准备好等待目标在职业体系内逐步升迁,还要承担目标在此期间可能暴露或脱离接触的风险。
它与吕某案(一年周期)形成了「慢速vs中速」的两个对照样本。朱某案中,对方从博士阶段即开始布局,利用目标整个职业发展周期逐级释放需求,利用渠道的长期化说明该间谍网络不仅关注"当下可用的位置",也在投资"未来可获得的位置"。吕某案则走的是典型的快节奏模板,从职业社交网站接触到课题撰稿再到直接索取涉密文件,以物质报酬直接开路。
两种节奏的存在,意味着单一的时间窗口参数不足以同时覆盖两种攻击类型。 可能的应对方案是同时设立高频行为异常检测(捕捉吕某式的快速升温接触)和长期关系图谱分析(识别朱某式的缓慢渗透模式)。
第三维度:航空航天的系统性风险暴露
朱某的从业领域是航天科研院所。在神舟二十三号5月24日夜间成功发射、首名香港载荷专家黎家盈进驻天宫的同一时间窗口,发布涉航天领域间谍案——这一时间叠合不是偶然的。随着中国航天从实验性发射进入常态化运营阶段,航天科研人员接触的涉密信息总量在快速扩张。朱某案不是孤立的个案,而是航天领域「涉密密度×人员规模」双增长的副产物。
📋
Abstract — 案件通报的固定框架
长安街知事为该案配发三层原因分析(思想防线崩塌、保密意识缺失、自我约束松懈)和三层应对方案(思想教育、防控机制、个人自律),与早期几轮安全警示的框架保持高度一致。这表明国家安全机关对此类案件的通报已经形成了一个固定信息框架:告诉公众发生了什么、为什么发生、以及如何防范。这种框架的意义不在于提供了多少新鲜分析,而在于让每一个读完通报的人都能在脑海中建立一个完整的「预警-归因-应对」心理模型。
百元气象站——物联网层的数据渗透新入口
ℹ️
Info — 增量更新 · 2026-05-28 07:15
来源:国家安全部联合中国气象局、国家保密局联合发布气象探测数据安全警示
5月28日清晨,国家安全部联合中国气象局、国家保密局发布了一组关于气象数据安全的新警示。这是继数据线窃密、蓝牙窃密、路由器跳板、微信泄密之后,国家安全机关披露的又一个技术缝隙型的渗透切入点。
与之前几个案例相比,气象站数据渗透在技术层面有两个鲜明特征:
第一,设备门槛极低。 一台售价仅几百元的家用气象站,无需任何特殊权限配置,即可24小时采集并上传安装地点的精确气象数据、经纬度、海拔和地形坡度。数据上行至境外服务器是设备出厂默认设定——用户甚至不需要有主观出卖意图,只需"出于兴趣"安装即可。
第二,数据的复合价值。 气象数据本身不直接构成国家秘密,但多个点位的时间序列叠加后,可以反推出区域农作物产量(粮食安全面)、风电光伏规划参数(能源安全面)、甚至军事活动窗口(国防安全面)。高精度气象观测设备同步推送的地形数据——海拔、经纬度、坡度——构成了地理信息探测的"旁路"渠道。
国家安全机关披露了两个操作层面的案例:
- 王某案:私人爱好者在军事敏感区域周边住宅楼楼顶搭建气象观测站,数据上传至境外网站,违反《涉外气象探测和资料管理办法》敏感区域禁设条款。
- 刘某案:购入标准气象数据采集仪,通过境外气象组织研发的手机APP控制,数据在APP启动时自动同步至境外后台数据库——用户购买合规设备→使用境外组织开发的软件→不经意的数据外流。
⚠️
Warning — 渗透维度的结构性跃迁
与路由器跳板案相比,气象站案揭示的是一个更隐蔽的渗透维度:路由器作为家庭网络入口,需要被主动攻破或劫持;而气象站作为环境数据采集设备,其数据外泄是出厂预设的功能特性。 这意味着「用户安全意识教育」的防控模型在这个场景中天然失效——用户甚至不知道"买一台站楼顶看温度"这件事已经违反了涉外气象探测管理规定。
《涉外气象探测和资料管理办法》提供了三层制度框架:
- 禁止向未经批准的外国组织提供气象探测场所和资料
- 涉外气象探测站实行行政许可制度
- 军事敏感区域、未开放地区、重点工程建设区域不得设站
📝
Note — 技术缝隙的外延扩张趋势
国家安全机关对此类问题的披露路径呈现出一种递进:从「路由器跳板」(设备级)到「APP授权」(应用级)到「气象站」(IoT设备级)——覆盖的技术缝隙在逐步扩大。未来值得关注的是,是否会出现更多「出厂即泄密」类的大规模消费者物联网设备。