前防务承包商高管被判刑

一名长期从事网络安全工作的前高管因向俄罗斯经纪人出售高度敏感的黑客和监控工具，被美国检方指控“背叛”美国，并被判处长期监禁。

美国防务承包商 L3Harris 旗下 Trenchant 部门前总经理、39 岁澳大利亚公民彼得·威廉姆斯（Peter Williams），于周二被判处 87 个月监禁。检方指控，他在 2022 年至 2025 年间，窃取前雇主的商业机密，并以约 130 万美元加密货币的对价，将相关黑客工具出售给一家位于俄罗斯的漏洞经纪公司“零号行动”（Operation Zero）。

美国政府称，“零号行动”是“全球最恶名昭著的漏洞经纪人之一”。司法部在案情陈述中表示，威廉姆斯出售的工具“有潜力访问全球数百万台计算机和设备”。

这一案件被视为近年来西方开发的敏感黑客工具外泄事件中最引人关注的一起。不过，在威廉姆斯被定罪之后，案件仍留下多项未解之谜。

利用职务之便窃取零日工具

根据法庭文件，威廉姆斯居住在华盛顿特区，曾在 L3Harris 负责 Trenchant 业务。该部门专门为美国政府及其最亲密的情报合作伙伴开发黑客和监控工具。

检方称，威廉姆斯利用其对公司安全网络的“完全访问权限”，将黑客工具从内部系统下载至便携式硬盘，再转移到个人电脑。随后，他以化名与“零号行动”取得联系并完成交易。目前尚不清楚“零号行动”是否知晓其真实身份。

Trenchant 团队由黑客和漏洞猎人组成，主要任务是深入分析谷歌、苹果等公司开发的主流软件，在数百万行代码中寻找缺陷，并将这些缺陷转化为可重复利用的攻击工具。这类工具通常被称为“零日漏洞利用”，因为它们针对的是软件开发者尚未知悉的安全漏洞，单个工具在市场上的价值可达数百万美元。

威廉姆斯的律师在庭审中表示，被窃取的工具并未被归类为政府机密。Trenchant 方面则估算，公司因此遭受的损失约为 3500 万美元。

内部调查与首次曝光

围绕威廉姆斯的调查和报道经历了一段漫长而零散的过程。多名消息人士在过去数月中向媒体提供线索，但相关信息一度相互矛盾，且难以核实。

最初在业内流传的只是关于一名零日漏洞开发负责人被捕的传闻，涉及其从 Trenchant 窃取零日漏洞并出售给俄罗斯，或其他被视为美国及其盟友对手的国家，如朝鲜或中国。关于其姓名的说法也不一，有人称其名为“约翰”或“达根”等。后来才确认，威廉姆斯的中间名为约翰，而“Doogie”是其在黑客圈的昵称。

随着更多消息汇集，案件逐渐清晰。此前有报道披露，Trenchant 曾解雇一名员工，原因是威廉姆斯——当时仍担任 Trenchant 负责人——指控该员工窃取并泄露了 Chrome 的零日漏洞。该被解雇员工表示，在被辞退后，苹果曾通知其个人 iPhone 遭到攻击。

随后，美国检方在公开法院系统中首次对一名名为彼得·威廉姆斯的人提出窃取商业机密的指控，并在文件中确认相关商业机密的买家位于俄罗斯。但当时文件并未提及 L3Harris 或 Trenchant，也未说明被窃取的是零日漏洞工具，外界一度无法确认该被告是否就是掌握高度敏感漏洞资源的 Trenchant 负责人。

在媒体向美国司法部求证后，司法部发言人确认，法庭文件中的被告确为 L3Harris Trenchant 前负责人彼得·威廉姆斯。此后不久，威廉姆斯认罪。

检方称，威廉姆斯将所得资金用于购买房产、珠宝和奢侈手表。此前，他曾被视为一名技术能力突出的黑客，并在澳大利亚顶级对外情报机构及军队服役。

与俄罗斯漏洞经纪人的交易

案件中一个关键问题是：威廉姆斯究竟向“零号行动”出售了哪些具体漏洞利用工具，以及这些工具最终流向何处。

司法部在文件中指出，被盗工具可用于攻击“数百万台计算机和设备”，显示其很可能针对安卓设备、苹果 iPhone 和 iPad 以及主流网页浏览器等广泛使用的消费级软件。

在去年一次听证会上，检方宣读了“零号行动”在社交平台 X 上发布的一则帖子内容。独立网络安全记者金·泽特（Kim Zetter）在场记录了该内容。帖子称，“鉴于市场需求旺盛，我们提高了顶级移动漏洞的回报”，并特别提到安卓和 iOS，强调“如往常一样，最终用户是非北约国家”。

“零号行动”长期以高价收购针对安卓设备、iPhone、Telegram 等消息应用、微软 Windows 以及多家服务器和路由器厂商产品的安全漏洞细节，悬赏金额可达数百万美元。该公司声称与俄罗斯政府合作。

威廉姆斯向这一俄罗斯经纪人出售漏洞利用工具时，俄罗斯对乌克兰的全面军事行动已在进行中。

在威廉姆斯被判刑当天，美国财政部宣布对“零号行动”及其创始人谢尔盖·泽列纽克（Sergey Zelenyuk）实施制裁，称该公司构成美国国家安全威胁。这是美国政府首次在官方文件中确认，威廉姆斯将漏洞出售给“零号行动”。

财政部在声明中表示，该经纪人“将这些被盗工具出售给至少一名未经授权的用户”。该用户身份尚未公开。财政部同时制裁了被指与“零号行动”合作的 Trickbot 团伙成员奥列格·维亚切斯拉沃维奇·库切罗夫（Oleg Vyacheslavovich Kucherov），显示相关工具的潜在买家既可能是外国情报机构，也可能是勒索软件团伙。

法庭文件显示，L3Harris 通过对比被盗组件中的公司特定供应商数据，发现“未经授权的供应商正在销售其中一项被盗商业机密的组件”。

检方还称，威廉姆斯“认出自己编写并出售给‘零号行动’的代码被韩国经纪人使用”，表明 L3Harris 和检方掌握了部分被盗工具的流向。

科技公司是否获知漏洞仍成疑问

目前尚不清楚，美国政府或 L3Harris 是否已将相关零日漏洞信息通报给苹果、谷歌或其他受影响产品的开发商。

对于任何软件开发商而言，获知其产品存在被利用的零日漏洞，意味着可以尽快发布补丁，防止用户和客户继续遭受攻击。对 L3Harris 及其政府客户而言，这些已被泄露的零日漏洞工具实际上已失去情报价值。

媒体曾就此向苹果和谷歌询问，两家公司均未回应。L3Harris 也未就相关问题作出答复。

被指控“替罪羊”的员工与间谍软件攻击

案件中另一未解之谜，涉及那名被威廉姆斯指控窃取并泄露代码、随后被 Trenchant 解雇的员工。

在威廉姆斯量刑听证会上，司法部检察官确认，该员工确曾被解雇，并表示威廉姆斯“袖手旁观，任由公司另一名员工被归咎于他的行为”。威廉姆斯的律师则在法庭上反驳称，该员工因“不当行为”被解雇，并提及其涉嫌双重雇佣以及不当处理公司知识产权等问题。

根据威廉姆斯律师提交的法庭文件，作为 L3Harris 内部调查的一部分，公司曾将该员工安排休假，查封其设备并转移至美国，“并将设备提供给联邦调查局”。

一名不愿具名的联邦调查局发言人表示，除司法部新闻稿外，局方没有进一步评论。

该被解雇员工（报道中以化名“杰伊·吉布森”指代）表示，在离职后，苹果曾通知其个人 iPhone 遭遇“雇佣兵间谍软件攻击”。苹果通常会向被认为遭到 NSO 集团或 Intellexa 等公司工具攻击的用户发出类似警告。

吉布森于 2025 年 3 月 5 日收到这则通知。法庭文件显示，联邦调查局“在 2024 年底至 2025 年夏季期间定期与威廉姆斯接触”，这意味着相关调查已持续数月。

在外界看来，鉴于被泄露工具的性质，联邦调查局或美国情报机构有可能在调查威廉姆斯泄密案过程中，将吉布森作为目标之一。但目前没有公开证据可以证实这一点，相关情况对公众及吉布森本人而言仍属未知。

（更新说明：文中关于被窃工具未被归类为机密的表述，依据威廉姆斯律师在法庭文件中的说法予以澄清。）