人工智能正在加速国家级网络行动计划

米尔科·佐尔兹，Help Net Security 内容总监，2026年4月24日

人工智能正在加速国家级网络行动计划

在本次 Help Net Security 采访中，微软网络安全政策与外交高级总监卡娅·齐格利奇讨论了国家级网络行动计划在过去三年中发生了怎样的变化。

网络空间已成为国家权力的核心工具，并与军事、经济和外交手段相互融合。齐格利奇认为，制裁和起诉等应对措施需要纳入更广泛的战略框架，其中包括附带条件的经济施压，以及要求各国对为勒索软件活动提供庇护承担责任。

她还谈到，围绕网络攻击适用北约《北大西洋公约》第五条仍存在模糊空间，并呼吁各国政府与私营部门合作伙伴在危机发生前就建立常态化协调机制。

问：过去三年里，哪个国家级网络行动计划的演变最令人意外？这种演变又揭示了哪些更广泛的战略意图？

不同地区和政治体制下的国家网络行动计划，主要在三个紧密相关的方向上发生了演变。

第一，网络空间已从一种专业化工具转变为国家权力的核心手段，越来越多地被与军事、经济和外交能力并列看待。

对近期冲突的分析表明，网络行动已被嵌入更广泛的国家安全战略和防务规划之中，尤其聚焦关键基础设施和社会韧性，而不再只是用于间谍活动或破坏。

第二，网络手段与其他权力工具的融合进一步加深。来自乌克兰以及更近期中东地区的经验表明，网络行动如今会与实体军事打击、信息行动和经济施压协同展开。

在这些情境中，网络手段更多被用于塑造环境、影响认知、扰乱后勤以及测试韧性，而不是单独产生决定性效果。

第三，自动化和人工智能赋能工具加快了行动节奏。多项评估指出，国家行为体及与国家有关联的行为体正在利用自动化和机器辅助技术，更大规模地开展侦察、利用漏洞并持续实施影响行动。

这样的演变降低了长期持续开展行动的门槛，同时也加大了防御方所承受的压力。

问：朝鲜的网络行动计划如今已具备规避制裁的机制功能。这是否模糊了间谍活动、战争与有组织犯罪之间的界线？

答：是的，而且这种界线模糊具有结构性特征。

对朝鲜网络行动最准确的理解，是将其视为一种由国家主导的犯罪体系，其核心目标之一就是获取收入。加密货币盗窃、供应链入侵以及非法信息技术工作人员计划，都在直接为国家优先事项提供资金支持。现有法律框架之所以难以应对，是因为它们默认间谍活动、犯罪和武装冲突之间存在清晰界限。

而在现实中，这种趋同意味着金融监管机构、网络防御方和国家安全主管部门之间必须开展更紧密的协调——仅为某一个领域单独设计的应对措施，已经不再足够。

对于因对手国家为勒索软件攻击等行为提供“安全避风港”而得以实施的犯罪活动，追责措施应着重于国家责任，而不应仅仅针对个别行为者。在美国，设立类似于“支持恐怖主义国家”认定的“支持网络犯罪国家”认定，或可帮助外界更加关注这些安全避风港，并开辟新的问责路径，从而促使相关国家履行必要的尽职义务。

尽管这些网络攻击在很大程度上是技术挑战，但它们同样也是政治问题，因此需要政治解决方案。就像其他领域一样，也需要明确红线与后果。网络空间中的威慑不会来自更高声量的谴责，而将来自持续一致、可适应、基于行为的回应方式——这种方式既反映网络行动的实际运作规律，也能让各国在危机或冲突之外拥有真正可行的应对选项。

北约在《北约条约》第五条与网络行动之间关系上的模糊性，是一种资产，还是一种负担？

我会优先推动建立常设、可运作的网络安全协调机制，在危机发生前就把各国政府与可信赖的私营部门运营方连接起来，而不是等到事后再临时组建特别工作组。在最需要速度的时候，我们仍然过度依赖非正式关系。最大的障碍是信任：在跨国界、跨行业共享敏感信息时，法律、文化和政治层面的顾虑依然存在。