「深度研究」：解密全球網路武器/軍火供應鏈

1×

0:00

-9:32

About 0xAGI aka W. H. J.

• 本文提供一頁式互動式網頁讓你輕鬆掌握與本文有關的基本概念。

• 本文附帶使用Google NotebookLM自動生成的中文Podcast如上，方便你更快捷有效地理解全文意涵。除此之外，你還可以經由本文的Google Notebook進行更為系統性的深度學習與互動。

“如果您是一名白帽研究員又十分幸運地挖掘到手機OS的Full-Chain Zero-Click或手機主要瀏覽器的RCE + LPE零日漏洞，您可以使用Signal私訊本文的作者0xAGI（ID：_0xagi.01）與他聯繫，他一般會先透過視訊面試您並驗證您的真實身份，然後才會決定是否要進行到下一步讓您透過視訊做POC的演示。”

“我們組織的總部位於以色列，買家遍布全球，交易過程一切合法合規，報價平均都在總部設在UAE的Crowdfense以及總部設在俄國的Operation Zero的1.5至2倍以上。我們所提供支援穩定幣支付的專業服務能夠確保您的真實身份不會在任何情況下被我們以外的第三方得知以免造成您不必要的困擾。當您首次透過Signal與0xAGI聯繫時，倘若是和零日漏洞業務有關，但卻沒有使用他本人的後量子加密公鑰（ML-KEM-1024）加密明文訊息的話，他將一律已讀不回。”

一、緒論：網路武器時代的來臨與全球格局

進入21世紀，全球安全格局經歷了深刻的轉變，其中最引人注目的特徵之一便是網路空間的軍事化以及隨之而來的「網路武器」與「網路軍火」的興起。從最初被視為單純的技術工具，到如今成為國家戰略、情報行動乃至地緣政治博弈的核心要素，網路武器的發展與擴散對國際關係、國家安全以及全球經濟秩序產生了深遠影響。本報告旨在全面深度解析公元2000年至2025年間全球網路武器/軍火的供應鏈，特別關注零日漏洞交易、暗網市場的角色、各國法規限制，並梳理重大歷史事件，比較主要參與國的強弱態勢及其地緣政治意涵。

1.1 網路武器與網路軍火的核心定義與特徵

「網路武器」或「網路軍火」通常指被設計或用於在網路空間執行攻擊性行動的軟體、硬體或技術手段，其目的在於利用目標電腦系統或網路的漏洞，以達成破壞、癱瘓、竊取資訊、間諜活動、宣傳、操縱或經濟戰等效果 ¹。與傳統物理武器不同，網路武器的主要載體是數位代碼，其攻擊範圍可以從單個電腦延伸至整個國家的關鍵基礎設施。

學術界與國際社會對於網路武器的精確定義及其是否構成傳統意義上的「戰爭」行為，仍存在一定程度的爭論。一種觀點認為，由於多數網路攻擊不直接造成物理傷亡，將其等同於「戰爭」或「武器」可能不盡恰當 ²。然而，另一種觀點則強調，若網路攻擊能夠造成與物理攻擊相當的損害，例如導致關鍵基礎設施癱瘓或重大經濟損失，則應視為一種戰爭行為，相關工具也應被視為武器 ²。Stuxnet蠕蟲攻擊伊朗核設施事件，便是一個早期證明網路工具可造成物理破壞的標誌性案例，極大推動了對網路武器軍事潛能的認知 ¹。

《塔林手冊》(Tallinn Manual) 作為北約合作網路防禦卓越中心 (NATO CCDCOE) 發起的一項重要學術成果，嘗試將現行國際法（特別是武裝衝突法）的原則應用於網路作戰。該手冊特別關注網路武器的「無差別性」問題，指出若某一網路武器的設計使其效果無法得到有效控制，可能失控地擴散並影響民用電腦系統，則構成無差別攻擊，這與國際人道法的基本原則相悖 ⁴。此外，《塔林手冊》認為，只有當網路行動可合理預期造成人員傷亡或有形物體的損壞或摧毀時，才構成國際法意義上的「攻擊」(attack) ⁶。這為判斷網路行動的合法性提供了一個重要的參考標準，但也突顯了網路間諜活動等非破壞性但具敵對性質的行動在法律界定上的複雜性。

軍事思想家如James Adams早已將病毒 (viruses)、臭蟲 (bugs)、蠕蟲 (worms) 和邏輯炸彈 (logic bombs) 稱為「戰爭的新武器」⁷，預示了軟體代碼在未來衝突中的核心地位。網路威懾 (cyber deterrence) 的概念也應運而生，它被理解為透過網路手段影響對手在所有領域（不僅是網路空間）的成本效益演算，尤其側重於懲罰維度，表明網路武器不僅用於直接攻擊，也具備戰略威懾的潛力 ⁸。

從法律層面看，國際法，特別是《日內瓦公約》1977年附加議定書第36條，規定各國在研究、開發、獲取或採用新的作戰武器、手段和方法時，有義務確定其使用在某些或所有情況下是否會被國際法所禁止 ⁹。這一原則同樣適用於網路武器的開發與使用，要求各國對其網路軍火庫的合法性進行審查。在具體操作層面，網路行動可分為電腦網路攻擊 (Computer Network Attack, CNA)，即透過電腦網路進行的旨在擾亂、拒絕服務、降級或摧毀目標電腦及網路中資訊的行動；以及電腦網路刺探 (Computer Network Exploitation, CNE)，即利用電腦網路從目標或對手的自動化資訊系統或網路中收集數據，以支援情報搜集和軍事行動 ¹⁰。

從2000年到2025年，對「網路武器」的定義經歷了從單純的技術工具到具有戰略、法律和倫理意涵的複雜概念的演變。然而，與傳統軍火相比，其非致命性、可複製性、歸因困難以及軍民兩用性等特點，使得「軍火」這一標籤的適用性持續存在爭議，並對國際軍備控制努力構成挑戰。網路武器本質上是軟體代碼，極易複製和擴散，一旦洩露，可能迅速被多方獲取和修改，這與傳統軍火的物理限制和生產複雜性截然不同 ¹¹。同時，確定網路攻擊的發起者（即歸因）在技術和政治上都極具挑戰性 ²，使得追究責任和實施有效報復變得異常複雜。許多網路工具和技術具有顯著的軍民兩用性 (dual-use)，難以明確區分其民用開發、安全研究與軍事攻擊用途 ¹³。這些特性使得傳統的軍備控制框架難以直接適用於網路武器。例如，《瓦聖那協定》試圖將「入侵軟體」(intrusion software) 納入出口管制範疇 ¹⁵，但其定義的廣泛性引發了網路安全業界的普遍擔憂，認為可能不當限制合法的安全研究、滲透測試和事件響應工具的開發與交流 ¹⁸。這種定義上的模糊性和網路武器本身的獨特性，為國家行為者在網路空間的行動提供了廣闊的灰色地帶，也使得建立全球性的、具有約束力的網路軍備控制和信任建立措施面臨重重困難。

---

1.2 零日漏洞：數位軍火庫的基石

在網路武器的構成中，「零日漏洞」(Zero-Day Vulnerability) 扮演著至關重要的角色，常被視為數位軍火庫中最具威力的「彈藥」。所謂零日漏洞，是指在資訊系統的軟體、韌體或硬體中，開發人員尚未知曉，或者已知但尚未發布修補程式的安全缺陷 ¹⁹。其名稱源於一個殘酷的現實：從漏洞被惡意行為者發現並掌握，到軟體開發商發布修補程式之間，防禦方通常只有「零天」的預警和反應時間 ¹⁹。

零日漏洞之所以具有極高的戰略價值，主要在於其「未知性」和「不可防禦性」。由於系統開發商和安全防護軟體對這些漏洞一無所知，因此在漏洞被公開披露和修補之前，利用這些漏洞發起的攻擊幾乎無法被現有的防禦體系所偵測和攔截。這使得零日漏洞成為國家級情報機構進行間諜活動、軍事單位發動網路戰以及高端網路犯罪集團實施精準打擊的理想工具 ¹⁹。

利用零日漏洞發起的網路攻擊被稱為「零日攻擊」(Zero-Day Attack) 或「零時差攻擊」。攻擊者在發現或獲取一個零日漏洞後，會專門針對該漏洞編寫惡意程式碼，設計攻擊載荷 (payload)，這種特製的惡意程式碼或攻擊手法被稱為「零日利用」(Zero-Day Exploit) ¹⁹。例如，攻擊者可能將零日利用植入看似無害的文件（如PDF、Office文檔）或網頁中，誘騙受害者打開或訪問，從而觸發漏洞，進而在目標系統上執行任意程式碼，實現遠端控制、數據竊取或系統破壞等目的。

零日漏洞的稀缺性和其在攻擊行動中的決定性作用，使其在地下市場中具有極高的經濟價值。根據報導，一個零日漏洞的價格可以從數千美元到數百萬美元不等，具體取決於漏洞影響的軟體普及程度、利用難度、攻擊效果以及是否獨家等因素。有資料顯示，最初價格僅為75美元的零日漏洞，在短短八年內其市場價格就飆升至5萬美元，市值增長超過600倍 ¹¹。至2015年，由政府情報機構和網路犯罪集團構成的零日漏洞「灰市」與「黑市」，其市場規模估計至少是軟體廠商和安全公司用於漏洞獎勵的「白帽市場」的十倍 ²¹。這一方面反映了市場需求的旺盛，另一方面也揭示了漏洞武器化的巨大黑色利益鏈。

近年來，零日漏洞的利用呈現出增長趨勢。根據Neway的資料，2023年全球範圍內觀測到的零日利用和攻擊事件數量從前一年的62起增加到97起，增幅高達56% ¹⁹。這表明攻擊者，無論是國家支持的駭客還是網路犯罪分子，都更加積極地尋找和利用這類高價值漏洞。

零日漏洞從最初主要由少數技術精英發現和利用，逐漸演變為一個具有明確價格、買賣雙方和中介機構的「市場」，這種「商品化」趨勢顯著降低了高級網路攻擊能力的門檻。在2000年代初期，零日漏洞的發現和利用主要依賴於個體駭客的技術能力或小型、高度專業化的團隊，其交易和流通相對隱蔽，不成規模。隨著網路應用的普及和對數位系統依賴性的增強，零日漏洞的戰略價值和經濟價值開始凸顯。駭客發現將漏洞出售比無償報告更有利可圖，這催生了市場的萌芽 ¹¹。如前所述，價格的飆升吸引了「資訊天才、影子仲介商、間諜組織」紛紛投入這個產業鏈 ¹¹，標誌著一個有組織的市場已經形成。過去，開發和利用零日漏洞需要高超的技術和資源，通常只有國家級行為者或頂級駭客組織才能做到。市場的出現意味著，只要有足夠的資金，即使技術能力相對較弱的行為者也能購買到強大的攻擊工具，正如資料所述，「戰力不敵強國的國家開始購入這種實惠的網路軍火」¹¹。網路犯罪集團也成為零日漏洞的重要買家 ²¹，暗網市場的發展進一步便利了匿名交易 ²²。這使得原本主要局限於國家間諜活動和網路戰的零日攻擊，開始向更廣泛的網路犯罪領域擴散，參與者的擴散導致了攻擊的「平民化」。隨著更多行為者掌握零日攻擊能力，網路攻擊的目標、動機和手法變得更加多樣化和難以預測。攻擊可能不再僅僅出於地緣政治目的，也可能出於經濟勒索、商業破壞或其他個人動機，從而增加了全球網路空間衝突的不可預測性。同時，國家行為者為了維持其網路優勢，不得不投入更多資源用於漏洞的獲取和防禦，進一步推高了零日漏洞的價格和需求，形成惡性循環，加劇了網路軍備競賽。零日漏洞的商品化是過去25年網路武器發展的一個關鍵轉折點，它不僅改變了網路攻擊能力的分配格局，也深刻影響了全球網路安全態勢的穩定性和可預測性。

---

1.3 全球網路軍火工業的興起與演變概覽 (2000-2025年)

從2000年到2025年這25年間，全球網路軍火工業經歷了從無到有、從分散到集中、從秘密摸索到部分公開化和產業化的深刻演變。這一演變過程與全球資訊化浪潮、網際網路的普及、地緣政治衝突的網路化以及網路犯罪的猖獗緊密相連。

早期的網路攻擊工具，多由個體駭客或小型技術社群出於炫技、好奇或小規模非法活動而開發。當時，「網路武器」的概念尚未普及，相關工具的交易也多在小圈子內進行，不成規模。然而，隨著各國政府和大型企業對網路系統的依賴日益加深，網路攻擊的潛在威力逐漸被認識到。一些具遠見的國家開始秘密組建專門的網路戰部隊和情報隊伍，投入資源研發攻擊性和防禦性網路能力 ¹。

網路軍火產業鏈的形成，是一個涉及多方參與者的複雜過程，其中包括發現和開發漏洞的駭客、進行交易撮合的中介人、研發和銷售專業攻擊工具的私人企業，以及最終購買和使用這些工具的國家情報機構、軍事單位乃至網路犯罪集團 ¹¹。一個顯著的轉變是，最初不少駭客可能出於技術熱情或社群精神，義務為大型軟體公司（如谷歌、微軟）找出並協助修補漏洞。但隨著漏洞的戰略價值和經濟價值不斷攀升，特別是零日漏洞的價格節節高漲，這些漏洞逐漸從技術社群的「共享資源」演變為被國家力量所覬覦和掌握的「戰略軍火」¹¹。

網路武器的交易也從最初的點對點、高度隱蔽的方式，發展出更為複雜和專業化的市場。這個市場具有全球性，但也充滿了地下交易的色彩，被形容為一個「全球網路武器貿易的地下世界」¹¹。在這個市場中，零日漏洞及其利用工具是最為核心和高價的「商品」。

進入2010年代後期及2020年代，網路軍火工業的發展呈現出新的趨勢。根據Fortinet在2025年發布的報告預測，人工智慧 (AI) 和自動化技術正被整合到攻擊工具中，使得網路攻擊的規模、複雜度和隱蔽性都顯著提升，進一步加劇了網路犯罪的態勢 ²²。同時，新發現的漏洞數量也在持續快速增長。例如，美國國家漏洞資料庫 (NVD) 在2024年新增的漏洞數量超過4萬個，相較於2023年增加了39% ²²。這為網路武器的開發提供了源源不斷的「原材料」。

市場規模方面，全球網路戰市場（涵蓋攻擊與防禦）在2024年的估值已達到383.2億美元，並預計在未來近十年內保持高速增長，到2033年市場規模預計將達到1361.4億美元，期間的複合年增長率 (CAGR) 高達16.06% ²⁴。這一數據充分顯示了網路軍火及相關安全產業的巨大發展潛力和持續的投入熱度。

回顧過去25年，全球網路軍火工業的演化路徑可以概括為從「游擊隊」到「正規軍」，再到「軍民融合」的過程。在2000年代初期至中期，網路攻擊主要由技術高超的個體駭客或小型、鬆散的駭客組織發起，動機多樣，其「武器」多為自行開發或小範圍共享的工具，規模和影響力相對有限，這可視為「游擊隊」模式 ¹¹。

進入2000年代末至2010年代中期，隨著國家意識到網路空間的戰略價值，開始組建專門的網路戰部隊和情報隊伍 ¹。Stuxnet事件（約2010年）作為國家級網路武器的標誌性事件，展示了高度組織化、資源密集型的攻擊能力 ¹。國家成為零日漏洞等高級網路武器的主要買家和開發者 ¹¹，標誌著「正規軍」模式的崛起。

約從2010年代中期至今，網路軍火工業進一步演化為一個國家、私營企業（包括傳統軍火商和專業網路安全公司）以及更廣泛技術社群深度參與的「軍民融合」生態系統。專業網路軍火商（如NSO Group, Hacking Team, Candiru）興起，向政府客戶提供定製化的攻擊工具和服務，形成了「駭客、中介人、企業與國家一系列由下而上的運作模式」¹¹。傳統軍火商（如BAE Systems, Lockheed Martin）也開始涉足網路安全和網路戰領域 ²⁴。中國等國家則明確提出「軍民融合」戰略，動員民用IT資源和科研力量服務於國家網路能力建設 ³⁷。漏洞市場的成熟，如零日漏洞經紀人、交易平台（如Zerodium）的出現，使得漏洞的發現、收購和武器化過程更加產業化和高效 ³⁸。同時，AI等新興技術的融入進一步模糊了技術開發者和武器使用者的界限 ²²。這種「軍民融合」的演化不僅提升了網路武器的複雜性和威力，也使得攻擊能力更容易擴散，攻擊者的界限日益模糊，增加了全球網路空間治理的複雜性。

---

二、全球網路武器供應鏈深度解析

全球網路武器供應鏈是一個複雜且多層次的生態系統，涉及從漏洞發現、工具開發、中介交易到最終使用的各個環節。與傳統軍火供應鏈相比，它更為隱蔽、靈活，且軍民界限模糊。

2.1 供應鏈結構與核心參與者

網路武器的供應鏈並非單一線性結構，而是一個由多種角色和組織構成的網路。這些參與者基於不同的動機（如國家安全、商業利益、意識形態、個人獲利等）在供應鏈的不同節點上發揮作用。

2.1.1 開發者：國家級團隊、私人企業、駭客組織與個人

網路武器的開發是供應鏈的源頭，其開發主體呈現多元化特徵：

• 國家級團隊： 主要大國均已建立專門的網路戰部隊和情報機構，投入大量國家資源進行網路武器的研發與儲備。這些團隊通常擁有最頂尖的技術人才和最先進的基礎設施，其開發的網路武器具有高度的針對性、隱蔽性和破壞力，主要服務於國家戰略目標，如情報蒐集、軍事威懾、關鍵基礎設施打擊等 ¹。例如，美國的國家安全局 (NSA) 和網路司令部 (USCYBERCOM)，俄羅斯的聯邦安全局 (FSB)、格魯烏 (GRU) 和對外情報局 (SVR) ⁴¹，以及中國的人民解放軍戰略支援部隊 (SSF) 和國家安全部 (MSS) ³⁷，均被認為是全球主要的國家級網路武器開發者和使用者。中國的MSS還被指利用承包商和大學合作進行漏洞獲取和網路間諜活動 ³⁷。

• 私人企業（網路軍火商）： 這是網路武器供應鏈中一個日益重要的組成部分。一些私人公司專門從事攻擊性和監控性網路工具的開發，並將其作為商品出售給政府客戶。這些「網路軍火商」的出現，標誌著網路武器開發的商業化和專業化。

• 專業攻擊/監控工具開發商： 以色列的NSO Group以其開發的「飛馬」(Pegasus) 間諜軟體聞名於世，該軟體能夠利用行動裝置的零日漏洞進行深度監控 ²⁵。另一家以色列公司Candiru（也被稱為Saito Tech Ltd.）開發的「DevilsTongue」等間諜軟體，同樣利用零日漏洞針對電腦和行動裝置進行攻擊和監控 ²⁷。義大利的Hacking Team（現已重組或停止運營）曾開發名為「遠端控制系統」(RCS) 或「伽利略」(Galileo) 的監控軟體，出售給全球多國政府和執法機構 ²⁹。這些公司通常擁有強大的漏洞研究和利用能力，其產品往往整合了多個零日漏洞利用 ²⁷。

• 傳統軍火與國防承包商： 一些大型傳統軍火製造商和國防承包商，如美國的Lockheed Martin、Northrop Grumman、Raytheon，以及歐洲的BAE Systems、Thales等，也紛紛將業務拓展至網路安全和網路戰領域，提供包括威脅情報、數據保護、網路攻擊/防禦解決方案等在內的服務 ²⁴。它們憑藉其在國防領域的深厚積累和政府關係，成為國家網路能力建設的重要支撐。

• 網路安全公司的「灰色」角色： 在某些國家，如中國，網路安全公司和研究機構被法律要求在發現漏洞後首先向政府報告，並可能在政府主導下參與網路情報收集或攻擊行動，這使得這些名義上的「防禦者」也可能扮演攻擊工具開發者的角色 ³⁷。

• 駭客組織與個人： 獨立的駭客、安全研究員以及有組織的駭客團體，是網路武器（尤其是零日漏洞和惡意軟體）的重要發現者和早期開發者 ¹¹。他們的動機各異，可能包括追求經濟利益（將漏洞或工具出售給出價最高者）、意識形態驅動（如「駭客行動主義」）、純粹的技術挑戰，或是直接從事網路犯罪活動。一些高端的網路犯罪組織，如勒索軟體即服務 (Ransomware-as-a-Service, RaaS) 的運營團夥，會自行開發或定製勒索軟體，並將其提供給附屬的攻擊者使用，形成一個小型化的「軍火供應」網路 ²²。

全球網路武器的開發呈現出一種「雙軌制」：一條是由國家直接主導和資助的秘密研發軌道，另一條則是由私營企業（網路軍火商）主導的商業化研發軌道。這兩條軌道之間存在顯著的「旋轉門」現象，即人才、技術甚至漏洞資源在政府機構和私營企業間雙向流動。許多私營網路軍火商的創始人和核心技術人員本身就來自國家情報機構或軍隊的網路部隊（例如，以色列的8200部隊與該國網路安全產業的緊密聯繫是典型例子，儘管未在直接提供的資料中詳述，但²⁷提及以色列公司Candiru與NSO Group管理層和投資者重疊，暗示了這種生態）。他們將在政府部門獲得的經驗、技術和人脈帶入私營企業。反之，政府機構也可能從私營企業招募頂尖人才，或採購其產品和服務，以彌補自身研發能力的不足或追求更高的效率，例如中國國家安全部(MSS)便被指利用承包商執行國家支持的網路行動 ³⁷。這種人才和技術的雙向流動，以及國家需求對商業研發的刺激和商業市場競爭對技術創新的促進，共同加速了高端網路武器的迭代和擴散，但也使得國家與非國家行為者之間的界限日益模糊，為全球網路治理帶來了新的挑戰。

2.1.2 經紀人與中介平台：零日漏洞交易市場的運作

在網路武器供應鏈中，特別是在高價值的零日漏洞領域，經紀人 (brokers) 和中介平台 (intermediary platforms) 扮演了至關重要的「市場潤滑劑」和「價值發現者」角色。他們連接了漏洞的發現者（賣方）和需求者（買方），促成了交易的達成，並在一定程度上塑造了這個高度機密市場的運作規則。

零日漏洞的交易市場根據買賣雙方的性質和目的，可以粗略劃分為幾個層次。維基百科的資料指出，存在所謂的「白帽市場」（漏洞發現者向軟體供應商報告漏洞以獲取獎勵金）、「灰帽市場」（漏洞被出售給政府或情報機構，用途可能是攻擊、儲備或通知供應商）和「黑帽市場」（漏洞在網路犯罪分子之間交易，用於非法活動）²¹。其中，「灰帽市場」被認為是規模最大且利潤最豐厚的，主要買家是各國政府和情報機構。

零日漏洞經紀人，根據INFOSEC-2023的定義，是指那些製作或銷售利用零日漏洞的惡意軟體的人 ³⁸。更廣義地看，他們是促成零日漏洞本身或基於漏洞開發的利用工具交易的中間人。這些經紀人可能是個人，也可能是專業化的公司。

近年來，一些「漏洞利用獲取平台」(Exploit Acquisition Platform) 開始以更公開（儘管仍高度保密）的方式運作。這些平台通常會發布詳細的漏洞收購價目表，明確列出針對不同目標平台（如iOS、Android、Windows）、不同漏洞類型（如遠端程式碼執行RCE、本地提權LPE）、不同利用條件（如零點擊、是否需要用戶交互、是否具有持久性）的漏洞的收購價格。

• Zerodium 是一家知名的漏洞獲取平台，其公開的漏洞獎勵計劃和高額獎金引起了廣泛關注 ³⁸。例如，在2019年，Zerodium曾為一個完整的Android零點擊 (zero-click) 帶持久性 (persistence) 的利用鏈開出高達250萬美元的收購價，這一價格在當時甚至超過了同類iOS漏洞的價格，反映了市場對高品質Android漏洞需求的增長 ³⁹。Zerodium的價目表清晰地展示了漏洞價值與其影響力、利用難度和持久性等因素的直接關聯。

• VUPEN (後其創始人成立了Zerodium) 是一家法國公司，早期也從事向政府客戶銷售漏洞資訊和利用工具的業務，並曾因在Pwn2Own等駭客競賽中展示其漏洞利用能力而聞名，但其選擇將漏洞細節出售而非免費披露給軟體廠商的做法也引發了爭議 ⁴⁵。

• Exodus Intelligence 則提供一種基於訂閱的服務模式，向其客戶（主要是政府機構和大型企業）提供獨家的零日漏洞情報、分析報告以及漏洞利用代碼 (PoC) ⁴⁶。其服務內容包括每年至少50份關於獨家零日漏洞的報告（包含利用代碼和網路數據包捕獲PCAP文件）、對公開漏洞的利用開發，以及針對特定客戶需求的進階漏洞利用整合和能力開發服務。

此外，一些網路軍火商如Hacking Team，也被披露曾透過與多個零日漏洞提供商合作來獲取其產品所需的漏洞資源 ³³。這些經紀人和中介平台的存在，使得零日漏洞的發現者（通常是獨立研究員或駭客組織）有了一個相對便捷的變現渠道，同時也為有需求的買家（主要是國家級行為者）提供了一個獲取尖端網路攻擊能力的「市場」。

零日漏洞經紀人和中介平台的出現和發展，標誌著零日漏洞交易市場的高度「專業化」。這些平台不僅建立了標準化的收購流程和定價機制，還試圖將自身定位為合法的「漏洞研究」或「網路安全情報」供應商，遊走於合法與非法之間的模糊地帶。這種專業化一方面提高了漏洞交易的效率，使得漏洞供需雙方更容易匹配，加速了漏洞從發現到武器化的過程；另一方面，它們也為國家級攻擊者和高階網路犯罪提供了更便捷的武器來源，客觀上可能提升了所交易漏洞的攻擊成功率，並降低了買家獲取高品質零日漏洞的門檻。然而，這些平台的運作也使得對這類交易的監管和歸責變得更加困難。它們往往跨國運營，利用不同國家的法律差異規避監管，且交易的高度保密性使得外部難易追蹤漏洞的具體流向和最終用途。這種「合法」外衣下的專業化運作，成為全球網路安全治理中的一個棘手問題。

2.1.3 買家：國家情報機構、軍事單位、執法部門與網路犯罪集團

網路武器供應鏈的最終流向是各類買家，他們的需求是驅動整個產業發展的核心動力。不同類型的買家因其目的、資源和法律約束的不同，對網路武器的種類、功能、隱蔽性和成本有著顯著差異的需求。

• 國家情報機構與軍事單位： 這是網路武器（尤其是高價值零日漏洞和先進攻擊工具）最主要也是出價最高的買家群體 ¹¹。他們的目標通常是服務於國家安全戰略，包括：

• 情報蒐集與間諜活動： 利用網路漏洞滲透目標國家、組織或個人的電腦系統，竊取敏感政治、軍事、經濟、科技情報。

• 網路戰準備與實施： 開發和儲備能夠癱瘓敵方關鍵基礎設施（如電網、金融系統、通訊網路）、破壞軍事指揮控制系統或製造社會混亂的網路武器。Stuxnet攻擊便是此類能力的早期展現 ¹。

• 反情報與內部安全： 監控國內潛在威脅，防止外部勢力滲透。 據報導，美國聯邦政府被認為是全球最大的零日漏洞買家之一。此外，俄羅斯、中國、英國、法國、以色列等網路強國，以及印度、巴西、馬來西亞、新加坡、朝鮮、伊朗等國家，乃至部分中東國家，都被指是零日漏洞和網路武器市場的重要買家 ²¹。

• 執法部門： 一些國家的執法機構（如警察、國內安全部門）也會採購特定的網路監控工具，用於打擊恐怖主義、有組織犯罪、兒童色情等嚴重犯罪活動 ²⁹。這類工具通常側重於合法攔截、目標監控、數據提取和證據固定。例如，Hacking Team的RCS軟體就被銷售給了多國執法部門。然而，執法部門使用這類工具的權限和程序受到國內法律的嚴格規限，且常因侵犯隱私而引發爭議。

• 網路犯罪集團： 這是網路武器非法市場的主要買家。他們購買漏洞利用程式 (exploit kits)、惡意軟體（如勒索軟體、銀行木馬、間諜軟體）、被盜數據、殭屍網路控制權等，用於實施各類網路犯罪活動以獲取經濟利益 ²¹。網路犯罪集團通常更青睞成本效益高、易於使用且能大規模部署的工具。雖然他們也可能尋求零日漏洞以攻擊高價值目標，但更多時候會利用已公開但尚未被廣泛修補的N日漏洞 (N-day vulnerabilities)，因為其獲取成本更低，技術門檻也相對較低 ²¹。

全球網路武器的買家市場呈現顯著的「需求分化」特徵。國家情報/軍事部門追求的是高度隱蔽、持久、強穿透、針對特定目標的定製化武器，成本承受能力極高，願意為獨家高品質漏洞支付數百萬美元 ³⁹。執法部門則需要符合法律程序、具備合法攔截和證據提取功能的監控工具，成本受政府預算限制。網路犯罪集團則偏好易用、廣泛適用、成本效益高的攻擊工具，如漏洞利用套件和勒索軟體即服務(RaaS)，其成本承受能力取決於預期犯罪收益。

這種需求分化催生了多樣化的供應商和產品線。然而，許多網路武器，特別是漏洞利用技術和監控工具，本質上具有「軍民兩用」甚至「軍警民罪四用」的特性。例如，聲稱僅售予政府用於打擊犯罪和恐怖主義的監控軟體（如Pegasus, RCS），大量證據表明其被廣泛用於監控記者、活動家和政治異見人士，實質上是「警用」工具被用於「類軍事/情報」目的 ²⁵。一個最初為國家情報機構發現或購買的零日漏洞，一旦細節洩露或被逆向工程，就可能被網路犯罪分子利用。這種技術共通性和產品的多用途性，使得針對特定買家群體的供應限制和出口管制極難有效實施。即使出口商聲稱對客戶進行了嚴格審查，也很難保證買方不會將武器轉售或用於未經授權的目的，或工具本身不會被第三方捕獲和濫用。這導致了網路武器技術容易從預期的高端使用者（如國家情報部門）擴散至非預期甚至非法的低端使用者（如犯罪集團或壓迫性政權），形成了網路武器擴散和濫用的一大根源，對全球網路安全和人權保障構成了嚴重挑戰。

2.1.4 賣家：漏洞發現者、駭客組織、專業漏洞軍火商

網路武器供應鏈的賣方市場同樣呈現多樣化的構成，他們是漏洞和攻擊工具流入市場的源頭或關鍵加工環節。其動機和行為模式直接影響著漏洞的流向、價格以及網路武器的可用性。

• 漏洞發現者（個人研究員/駭客）： 許多零日漏洞最初是由獨立的安全研究人員、學術界的科研人員或具有高超技術的個體駭客發現的。他們在發現漏洞後，面臨多種選擇：

• 白帽途徑： 負責任地向受影響的軟體供應商報告漏洞，協助其修補，並可能因此獲得漏洞賞金 (bug bounty) 和公開致謝。許多大型科技公司都設有漏洞獎勵計劃 ²¹。

• 灰帽途徑： 將漏洞資訊或利用代碼出售給漏洞經紀人、中介平台或直接出售給政府情報機構。這種途徑通常能獲得比漏洞賞金高得多的經濟回報，但其合法性和倫理意涵則較為模糊 ²¹。

• 黑帽途徑： 在暗網等黑市上匿名出售漏洞或利用工具，買家可能是網路犯罪集團或其他不法分子。這種途徑的非法性最高，但潛在收益也可能非常巨大。

• 駭客組織： 一些有組織的駭客團夥，出於經濟利益或其他特定目的（如政治訴求、網路破壞），會系統性地挖掘漏洞、開發攻擊工具，並將其出售或自行使用。這些組織可能具有較強的技術實力和反偵察能力，是網路武器黑市的重要供應者 ²¹。

• 專業漏洞軍火商： 如前文所述的NSO Group、Candiru、Hacking Team等公司，它們不僅僅是漏洞的買賣中介，更是漏洞的「加工廠」和「系統整合商」。這些公司通常會：

• 收購漏洞： 從個體發現者、駭客組織或漏洞經紀人處購買高價值的零日漏洞。

• 自主研發： 投入大量資源進行漏洞研究和利用技術的自主研發。

• 武器化與產品化： 將原始漏洞轉化為穩定、可靠、易於部署的攻擊或監控「產品」，通常包含精心設計的用戶界面、數據管理後台、持續的技術支持和更新服務。例如，Candiru被描述為提供包括傳遞機制、遠端控制基礎設施、間諜軟體工具和軟體漏洞利用在內的「中間人」或「管理服務提供者」³¹。

• 銷售與服務： 將其產品以高昂的價格（通常涉及數百萬甚至數千萬美元的合同）出售給其主要客戶——各國政府、情報機構和執法部門，並提供培訓和售後服務 ²¹。

• 漏洞經紀平台： 如Zerodium、Exodus Intelligence等平台，在從漏洞發現者處收購漏洞後，它們自身也扮演了賣家的角色，將經過驗證和評估的漏洞資訊或基於這些漏洞開發的利用工具，以更高的價格轉售給其政府或企業客戶 ³⁹。

網路武器的賣方市場在過去25年中經歷了從早期個體發現者的「機會主義」出售，到如今專業化公司和有組織團夥進行「產業化」漏洞挖掘、武器開發和銷售的轉變。早期，個體駭客或小型研究團隊偶然發現漏洞後，尋求將其變現的途徑，出售對象可能不固定，取決於出價或接觸機會 ¹¹。隨著市場的發展，專業漏洞軍火商和有組織的駭客團夥成為了更主要的賣方力量。他們擁有系統化的研發流程、明確的目標客戶群（主要是政府機構），並提供成熟的產品和服務。這種「產業化」的轉變雖然提高了攻擊工具的技術水平和供應效率，但也將賣家（尤其是專業公司）置於嚴峻的倫理困境和法律風險之中。儘管這些公司通常聲稱其產品旨在協助政府打擊恐怖主義和嚴重犯罪，但大量獨立調查（如Citizen Lab、國際特赦組織的報告）揭示，其產品被廣泛用於針對記者、人權活動家、政治反對派甚至其他國家政府官員的非法監控和攻擊 ²⁵。這使得他們「僅售予主權國家政府用於合法目的」的說辭往往難以有效約束買家的實際行為，也無法完全規避其產品被濫用的責任。NSO Group和Candiru等公司已被美國商務部列入實體清單，限制其獲取美國技術 ²⁸，針對這些公司的法律訴訟也日益增多 ²⁵，這表明國際社會對這類「產業化」網路武器賣家的容忍度正在下降，對其進行更嚴格的國際監管和法律約束的呼聲也日益高漲。

---

2.2 零日漏洞交易市場：商業機密的灰色地帶

零日漏洞交易市場是整個網路武器供應鏈中最為核心也最具神秘色彩的一環。它是一個高度專業化、利潤豐厚但同時也遊走在法律與道德邊緣的灰色地帶。這個市場的運作直接關係到最尖端網路攻擊能力的流向和擴散。

2.2.1 市場規模與價值評估

對零日漏洞市場的確切規模進行評估極具挑戰性，因為其大部分交易都在秘密狀態下進行。然而，透過公開報導、安全研究報告以及漏洞經紀平台的報價，可以窺見其大致的輪廓和驚人的增長趨勢。

如前所述，零日漏洞的價格在過去十幾年間經歷了爆炸式增長。從最初僅數十或數百美元的價值，到如今單個高品質漏洞的價格動輒數萬、數十萬甚至數百萬美元，其市值增長了數百倍乃至更高 ¹¹。這一方面反映了漏洞利用技術的進步和攻擊價值的提升，另一方面也顯示了市場需求的強勁。

據估計，在2015年，由政府和犯罪集團主導的零日漏洞灰市和黑市的總體規模，至少是軟體廠商用於漏洞獎勵的白帽市場的十倍 ²¹。這意味著絕大多數被發現的高價值漏洞，並未流向軟體開發商進行修補，而是進入了攻擊性用途的交易渠道。

安全公司Mandiant的觀察也間接反映了市場的活躍度。他們發現，在過去三年中，被利用的零日漏洞相對於已被公開披露的N日漏洞（即已知但目標系統尚未修補的漏洞）的比例有所上升，從61:39擴大至70:30 ⁴⁷。這可能表明，攻擊者（尤其是高端攻擊者）獲取和利用零日漏洞的意願和能力在增強。

在特定領域，零日漏洞的數量也可能非常驚人。例如，Omdia在2024年發布的《量化公開漏洞市場》報告中提及，車聯網安全公司VicOne自2007年以來在漏洞揭露領域處於領先地位，並曾在短短三天內就發現了49個涉及聯網汽車和電動汽車充電樁的零日漏洞 ⁴⁸。這預示著隨著物聯網 (IoT) 設備的普及，相關零日漏洞的數量和潛在攻擊面也將急劇擴大。

從攻擊事件的數量來看，2023年全球範圍內觀測到的零日利用和攻擊事件數量較2022年增長了56%，從62起增加到97起 ¹⁹。這直接反映了零日漏洞在實際網路攻擊中的應用頻率正在顯著增加。

雖然暗網市場的交易數據不完全等同於零日漏洞的直接交易規模，但其「繁榮」程度也間接反映了漏洞利用後果的嚴重性以及相關非法交易的活躍。例如，2022年，由於網路攻擊導致的大規模數據洩露，暗網市場的交易空前活躍，據稱有高達240億條用戶帳戶憑證在暗網流通 ²³。這些數據洩露事件的源頭，很可能就包括了零日漏洞的利用。同時，美國國家漏洞資料庫在2024年新增的漏洞數量超過4萬個，較2023年增加了39% ²²，這也為零日漏洞市場提供了持續不斷的潛在「原材料」。

儘管公開報導和研究中提及的零日漏洞市場規模和交易價格（如數萬至數百萬美元）已經令人矚目，但這些數據可能僅是整個市場的「冰山一角」。由於交易的高度機密性、大量未被發現或未公開報告的交易，以及國家級行為者內部研發和使用的漏洞（這些漏洞通常不進入市場流通），實際的零日漏洞經濟價值和影響力遠超可見數據。一個關鍵的零日漏洞對於國家而言，其戰略價值可能無法用金錢衡量。

此外，零日漏洞的「隱性成本」往往難以量化，但其總體社會經濟影響巨大。這些成本包括受害者因攻擊而遭受的直接經濟損失（如NotPetya勒索軟體攻擊曾造成全球逾百億美元的損失 ¹¹）、數據洩露、業務中斷、聲譽損害等；企業和個人為防禦零日攻擊而投入的大量安全軟硬體、人力和培訓成本 ²⁰；頻繁的零日攻擊導致的公眾對數位技術和服務的信任度下降；以及國家間利用零日漏洞進行互相攻擊和間諜活動所引發的地緣政治不穩定和軍備競賽升級。因此，在評估零日漏洞市場的威脅和制定對策時，不能僅僅依賴已公開的市場數據，必須認識到其背後更為龐大和複雜的經濟與社會影響。

2.2.2 定價機制與影響因素

零日漏洞的價格並非隨意而定，而是由一套複雜的市場機制和多種因素共同決定的。了解這些定價因素，有助於評估不同類型漏洞的相對威脅程度，並理解市場參與者的經濟動機。

主要的影響因素包括：

1. 漏洞的技術特性與影響力：

• 目標平台： 漏洞所在的軟體或硬體平台是首要因素。影響廣泛使用的作業系統（如Windows、iOS、Android）、瀏覽器（如Chrome、Safari）、伺服器軟體或重要的企業級應用程式的漏洞，通常價格更高 ²¹。早期，iOS漏洞的價格普遍高於Android漏洞，但隨著Android安全性的提升和市場需求的變化，高品質的Android零點擊漏洞價格也可能反超iOS ³⁹。

• 漏洞類型與利用效果： 能夠實現遠端程式碼執行 (RCE) 的漏洞，尤其是無需用戶交互的「零點擊」(Zero-click) 漏洞，其價值遠高於需要用戶點擊連結或打開文件的「一點擊」(One-click) 漏洞，或僅能造成拒絕服務 (DoS) 的漏洞 ³⁹。能夠實現特權提升 (Privilege Escalation) 的漏洞也具有較高價值。

• 持久性 (Persistence)： 如果漏洞利用成功後，攻擊者能夠在目標系統重啟後依然保持訪問權限（即具有持久性），那麼該漏洞的價格會顯著提高 ³⁹。

• 影響範圍與潛在危害： 漏洞是否能夠繞過現有的安全防護機制（如ASLR、DEP、沙盒等）、是否能夠大規模傳播、是否能夠用於攻擊高價值目標（如金融機構、關鍵基礎設施）等，都會直接影響其價格。

2. 市場供需關係：

• 稀缺性： 越是罕見、難以發現和利用的漏洞，其供應量越少，價格自然越高。

• 買方需求： 政府情報機構、軍事單位等國家級買家，出於國家安全和戰略目的，對特定類型的高價值漏洞（如針對特定國家或特定技術的漏洞）有強烈需求，並且願意為此支付高昂的價格，甚至是獨家購買的溢價 ²¹。

• 市場趨勢與熱點： 某些時期，特定平台或應用的漏洞可能成為市場追逐的熱點，導致其價格波動。例如，Zerodium就曾根據市場趨勢調整其對iOS和Android漏洞的收購價格 ³⁹。

3. 漏洞本身的質量與可靠性：

• 穩定性與成功率： 漏洞利用是否穩定，在不同環境下的成功率如何，是否存在導致目標系統崩潰的風險等，都是買家考量的重要因素。

• 可檢測性： 漏洞利用是否容易被安全軟體或人工分析所檢測到，直接關係到其使用的隱蔽性和有效壽命。

• 是否附帶完整利用代碼 (Exploit/Proof-of-Concept)： 一個僅有漏洞描述的資訊，其價值遠低於一個附帶了經過驗證、可直接使用的完整漏洞利用代碼和詳細技術文檔的「漏洞包」。

4. 交易條件：

• 獨占性： 如果賣方承諾將漏洞獨家出售給某個買家，不再向其他任何人出售，那麼價格通常會遠高於非獨家出售的漏洞。買家願意為獨占性支付溢價，以確保其在漏洞生命週期內的獨家利用權，避免因漏洞資訊擴散而導致其過早失效 ²¹。

• 時效性（保鮮期）： 零日漏洞的價值與其「保鮮期」密切相關。在漏洞被軟體供應商發現並修補之前，其價值最高。一旦漏洞細節被公開披露或修補程式發布，其價值就會急劇下降，甚至歸零 ²¹。因此，交易的時效性非常關鍵。

5. 經紀人的角色與利潤： 漏洞經紀人或中介平台在收購漏洞後，通常會在原始收購價格的基礎上加上一定的利潤再出售給最終客戶。其加價幅度取決於其提供的附加價值（如漏洞驗證、武器化支持、客戶關係等）。

6. 市場的整體通脹： 隨著網路攻防技術的不斷升級和對高階網路武器需求的持續增長，零日漏洞市場的整體價格水平也呈現出上升趨勢。2022年發表的一項基於單個漏洞經紀人支付的最高價格的研究發現，漏洞利用程式的價格年化通脹率高達44% ²¹。

零日漏洞的定價不僅僅反映其技術複雜度和市場供需，更深層次上是其潛在「情報價值」與「生命週期預期」之間的一場博弈。高價漏洞往往意味著其能提供獨特的、高價值的情報獲取或攻擊能力（例如針對特定高價值目標的零點擊利用），且預期在被發現和修補前能維持較長的可用窗口。買家，尤其是國家級行為者，願意支付高價，是在賭該漏洞能在其「保鮮期」內帶來超額的戰略回報。

這種博弈體現在多個方面：買家會評估購買漏洞的成本與其可能帶來的情報收益或攻擊效果；同時也會評估風險，如該漏洞是否已被賣家同時出售給多方，或是否很快會被公開。這也是為何信譽良好的經紀人和獨家漏洞更受青睞的原因。買家需要在漏洞被發現和修補之前，盡快利用其獲取最大價值，這是一個與時間賽跑的過程。價格的波動，如Zerodium調整iOS與Android漏洞價格 ³⁹，表面上是「市場趨勢」，深層原因可能是對應平台安全性的變化、新防禦機制的出現、或特定類型漏洞的情報價值發生了轉變，這些都影響了漏洞的預期生命週期和情報回報。高昂的價格標籤背後，是複雜的情報價值評估和對其未來可用性的預期，這場博弈不僅存在於買賣雙方之間，也存在於攻擊者與防禦者之間。

2.2.3 漏洞武器化流程

發現或獲取一個零日漏洞僅僅是網路攻擊的第一步。要將這個原始的「安全缺陷」轉化為能夠在實際攻擊中發揮作用的「武器」，還需要經過一系列複雜的技術流程，這就是所謂的「漏洞武器化」(Vulnerability Weaponization)。

漏洞武器化的核心目標是創建一個穩定、可靠、能夠有效觸發漏洞並達成攻擊者預期目的（如執行任意程式碼、竊取數據、提升權限等）的「漏洞利用」(Exploit)。其大致流程通常包括以下幾個階段：

1. 漏洞分析與驗證 (Vulnerability Analysis and Verification)：

• 首先需要深入理解漏洞的成因、觸發條件、影響範圍以及利用的可能性。這通常涉及對目標軟體或硬體的逆向工程、代碼審計（如果能獲取源碼）、以及動態調試等技術。

• 驗證漏洞確實存在並且可以被利用，排除誤報或難以利用的情況。

2. 編寫概念驗證代碼 (Proof-of-Concept, PoC Development)：

• 開發一個最小化的、能夠證明該漏洞可以被觸發並導致某種異常行為（如程式崩潰、控制流劫持等）的代碼。PoC是後續完整漏洞利用開發的基礎。

3. 開發漏洞利用代碼 (Exploit Development)：

• 這是武器化過程中最核心和最具技術挑戰的環節。攻擊者需要精心構造輸入數據或執行序列，以精確地觸發漏洞，並利用漏洞造成的異常狀態來劫持程式的控制流，使其轉向執行攻擊者預先植入或指定的惡意程式碼（即「Shellcode」或「Payload」）。

• 針對不同的漏洞類型（如緩衝區溢出、堆溢出、釋放後使用UAF、競爭條件等）和不同的目標平台及防護機制，需要採用不同的利用技術。

4. 設計與集成攻擊載荷 (Payload Design and Integration)：

• 攻擊載荷是漏洞利用成功後，在目標系統上實際執行的惡意功能模塊。它可以是下載並執行更複雜的惡意軟體（如下載器downloader）、建立遠端後門 (backdoor)、竊取敏感資訊、加密文件（如勒索軟體）、或者執行其他破壞性操作。

• 攻擊載荷需要被巧妙地集成到漏洞利用代碼中，並確保在漏洞觸發後能夠被成功執行。

5. 繞過安全防護機制 (Bypassing Security Mitigations)：

• 現代作業系統和應用程式通常部署了多種安全防護機制，如數據執行保護 (DEP)、地址空間佈局隨機化 (ASLR)、控制流完整性 (CFI)、沙盒 (Sandbox) 等，以增加漏洞利用的難度。

• 攻擊者在開發漏洞利用時，必須設法繞過這些防護機制。例如，利用Return-Oriented Programming (ROP) 或 Jump-Oriented Programming (JOP) 等技術來繞過DEP和ASLR。Hellcat勒索軟體組織就使用了反射式程式碼載入 (reflective code loading) 和進階反惡意軟體掃描介面 (AMSI) 繞過技術來逃避檢測 ¹⁹。

6. 隱蔽與持久化 (Stealth and Persistence)：

• 為了避免被安全軟體檢測和清除，並在目標系統上長期潛伏，漏洞利用和攻擊載荷通常會採用各種隱蔽技術，如代碼混淆、加密、加殼、反調試、反虛擬機等。

• 為了實現持久化，攻擊者可能會修改系統註冊表、創建計劃任務、替換系統文件或利用其他啟動機制，確保惡意程式在系統重啟後依然能夠運行。Hellcat勒索軟體就透過修改註冊表運行鍵值來建立持久性 ¹⁹。

7. 測試與優化 (Testing and Optimization)：

• 開發完成的漏洞利用需要在不同的目標環境下進行充分測試，以確保其穩定性、可靠性和兼容性，並根據測試結果進行優化。

8. 打包與分發 (Packaging and Delivery)：

• 最終形成的武器化漏洞利用需要被打包成易於分發和部署的形式，例如嵌入到惡意文檔、網頁、釣魚郵件附件中，或整合到自動化的攻擊工具包 (Exploit Kit) 中 ²⁰。

整個漏洞武器化過程技術含量高、耗時長，且需要深厚的專業知識。然而，近年來，漏洞武器化的過程正日益呈現「模組化」和「服務化」的趨勢。攻擊者不再需要從頭開發所有攻擊組件，而是可以將發現的漏洞（或購買的漏洞利用）作為一個「模組」，整合到現有的、甚至商業化的攻擊框架（如Metasploit、Cobalt Strike，以及被Hellcat勒索軟體使用的SliverC2命令與控制框架 ¹⁹）或惡意軟體即服務 (Malware-as-a-Service, MaaS) 平台中。許多惡意軟體家族（如勒索軟體）也採用模組化設計，可以根據需要替換或更新其攻擊向量或功能模組。同時，惡意軟體即服務 (MaaS) 或勒索軟體即服務 (RaaS) 的模式，使得攻擊工具的開發者將其打包成服務，提供給其他網路犯罪分子使用，按攻擊次數、獲取收益比例等方式收費 ²²。

這種趨勢顯著降低了發動複雜攻擊的技術門檻，使得更多技術水平不高的攻擊者也能利用先進的漏洞。同時，它也加速了新型漏洞利用方式的傳播和變種的產生，因為標準化的接口和框架使得漏洞利用技術更容易被複製、修改和重用。服務化平台可以同時為大量攻擊者提供支持，擴大了特定漏洞的攻擊範圍。勒索軟體組織已經能夠在短時間內將零日漏洞武器化，並將其工具、方法和目標清單程序化 ¹⁹。這對防禦方構成了更大的挑戰，因為他們需要應對更多來源、更多變種的攻擊，而不僅僅是少數高端攻擊者的定製化工具。

---

2.3 暗網的角色：隱密的軍火交易平台

暗網 (Dark Web) 是指網際網路中那些無法被標準搜尋引擎索引，需要特定軟體（如Tor瀏覽器）、特殊配置或授權才能訪問的部分。由於其高度的匿名性和隱蔽性，暗網已成為各種非法活動的溫床，其中包括網路武器和相關服務的交易，使其在全球網路軍火供應鏈中扮演了一個關鍵的地下流通渠道和交易平台角色。

2.3.1 暗網市場的運作與匿名性

暗網的核心特徵在於其為用戶提供的匿名性保障。透過Tor (The Onion Router) 等匿名網路技術，用戶的網路流量經過多層加密並在全球範圍內的志願者運行的中繼節點之間隨機路由，從而隱藏用戶的真實IP位址和地理位置，使得追蹤用戶身份變得極為困難 ²³。

正是這種匿名性，使得暗網成為網路犯罪分子進行非法交易、交流和組織活動的理想場所。在暗網中，存在著大量的「暗網市場」(Darknet Markets)，這些市場類似於常規的電子商務平台，但其上架的「商品」卻是各類違禁品和非法服務，包括毒品、偽造貨幣、被盜信用卡數據、個人身份資訊、駭客工具、惡意軟體、漏洞利用程式，乃至武器和殺人服務等 ²³。許多現實世界中的網路攻擊事件，其背後往往與暗網市場上交易的工具、數據或服務有著千絲萬縷的聯繫 ²³。

近年來，隨著網路攻擊導致的數據洩露事件頻繁發生且規模不斷擴大，暗網市場的交易也呈現出「空前繁榮」的景象 ²³。大量被盜的個人數據、企業憑證等成為暗網市場上的搶手貨，進一步助長了網路犯罪的規模。暗網市場上的商品和服務價格並非一成不變，而是受到供需規律、商品質量、賣家信譽以及外部因素（如加密貨幣價格波動、執法部門打擊行動等）的多重影響 ²³。

儘管暗網以其匿名性著稱，但在其網路武器和非法服務交易市場中，卻存在一種「信任悖論」。由於交易雙方無法依賴傳統法律和執法機制來保障交易安全，市場內部逐漸演化出一套基於賣家聲譽、買家評論、中介擔保 (Escrow) 等非正式機制的「聲譽經濟」。買家可以對賣家及其商品/服務進行評分和留下評論，高信譽賣家通常能獲得更多生意和更高價格。一些市場提供或允許使用第三方中介擔保服務，買家將款項付給中介，賣家發貨，買家確認收貨後，中介再將款項付給賣家，這在一定程度上降低了直接欺詐的風險。然而，這種在匿名環境中建立有限信任的機制，其有效性參差不齊，且易受詐騙和執法打擊的影響。聲譽可以偽造，執法機構也可能偽裝成買家或賣家進行滲透。因此，暗網交易始終伴隨著較高的風險。對於網路武器這類高價值、高風險的商品，這種非正式的信任機制尤其受到考驗。

2.3.2 暗網上的網路武器交易類型與趨勢

暗網市場已成為網路攻擊工具和相關服務的重要集散地，逐漸發展成為一個成熟的漏洞攻擊買賣市場 ²²。在這些隱秘的平台上，可以找到各種類型的網路武器及相關資源：

• 漏洞利用程式與漏洞資訊 (Exploits and Vulnerability Information)： 雖然最高價值的零日漏洞可能更多透過私下渠道或專業經紀人交易，但暗網市場上仍然可以找到一些已知漏洞的利用程式 (N-day exploits)、漏洞利用套件 (Exploit Kits)，甚至偶爾會有聲稱是零日漏洞的出售資訊。

• 惡意軟體與駭客工具 (Malware and Hacking Tools)： 各類惡意軟體，如遠端存取木馬 (RATs)、鍵盤記錄器、資訊竊取軟體 (Info Stealers)、殭屍網路控制端、勒索軟體等，以及用於網路掃描、密碼破解、網路釣魚的工具包，都是暗網市場的常見商品 ²³。

• 被盜數據與憑證 (Stolen Data and Credentials)： 這是暗網市場上交易量最大也最具流動性的「商品」之一。大量被盜的企業內部數據、用戶數據庫、個人身份資訊 (PII)、信用卡資訊、以及各種網路服務的登入憑證（用戶名和密碼組合）被公然出售 ²²。例如，2024年，暗網上出售的商品中，企業憑證佔比約20% ²²。FortiGuard Labs的報告指出，被資訊竊取惡意軟體感染的系統日誌數量暴增500%，導致約17億筆被盜憑證數據在地下論壇流通 ²²。而在2022年，更有高達240億個用戶帳戶憑證在暗網流通 ²³。這些憑證成為後續帳戶接管、金融詐騙和企業間諜活動的重要「彈藥」。

• 訪問權限即服務 (Access-as-a-Service)： 近年來，出售對已入侵系統的訪問權限成為一個日益增長的趨勢。例如，攻擊者會出售遠端桌面協定 (RDP) 訪問權限（約佔暗網市場19%的份額）、企業VPN帳戶、網站後台管理面板的訪問權限（約佔13%）、以及Webshell後門（約佔12%）等 ²²。購買這些訪問權限，可以讓其他攻擊者直接繞過初始入侵階段，快速進入目標網路內部。

• 網路攻擊服務 (Cyberattack-as-a-Service)： 除了工具和數據，暗網市場還提供各類網路攻擊服務，如分散式拒絕服務 (DDoS) 攻擊租用、惡意軟體安裝服務（例如，在美國用戶設備上安裝1000次「高品質」惡意軟體的價格約為1700美元 ²³）、垃圾郵件發送、網路釣魚攻擊定制等。

• 偽造文件與身份服務 (Forged Documents and Identity Services)： 用於支持網路犯罪活動的偽造身份證件（如駕照、護照）、偽造銀行賬戶、甚至創建完整的虛假身份，也可以在暗網購得 ²³。

暗網市場的趨勢也值得關注：

• 價格波動與「價格戰」： 2022年的觀察顯示，暗網市場上多數商品和服務的價格出現了下滑趨勢，被形容為一場「價格戰」。這可能與供應量的增加（大量數據洩露導致商品氾濫）、市場競爭加劇以及加密貨幣市場的整體低迷有關 ²³。

• 訂閱制服務的興起： 一些更具「商業頭腦」的網路犯罪分子開始提供專門的訂閱服務，允許付費用戶在第一時間獲取最新洩露的用戶憑證或其他敏感數據。這種模式對於追求時效性的攻擊者極具吸引力，因為一旦數據洩露事件被公開，受害者更改密碼後，洩露數據的價值就會迅速降低 ²³。

• 人工智慧 (AI) 驅動的犯罪工具： AI技術正被網路犯罪分子用於提升攻擊的效率和隱蔽性。例如，利用AI生成更具欺騙性的釣魚郵件內容、製作逼真的虛假音視頻（深度偽造）、自動化漏洞利用過程，甚至開發能夠逃避傳統安全軟體檢測的AI惡意軟體。暗網上已經出現了如FraudGPT、BlackmailerV3等不受公開AI工具倫理限制的專用AI犯罪工具，使得網路犯罪變得更加猖獗和難以偵測 ²²。

近年來，暗網市場在網路武器交易方面，正經歷從簡單的「工具超市」（提供現成惡意軟體、漏洞利用）向更複雜的「攻擊服務平台」（如RaaS、惡意軟體安裝服務、DDoS租用）和「情報樞紐」（大規模洩露數據、憑證交易、目標訪問權限銷售）的轉型。這一轉型得益於AI等新技術的應用和訂閱制等商業模式的創新，進一步降低了複雜網路攻擊的門檻，並為更具針對性和規模化的攻擊行動提供了基礎設施和原始情報。暗網市場不再僅僅是網路武器的零售店，它正在演變成一個複雜的、多層次的生態系統，集成了工具銷售、服務提供和情報交易。這種轉型使得暗網在全球網路軍火供應鏈中的角色更加核心和危險，它不僅為低級別攻擊者賦能，也為高級別攻擊行動提供了關鍵的資源和支持。

---

2.4 供應鏈攻擊：脆弱環節的利用

供應鏈攻擊 (Supply Chain Attack) 是一種日益受到關注且極具破壞力的網路攻擊模式。它並非直接攻擊最終目標組織，而是將目光投向其供應鏈中的相對薄弱環節，如軟體供應商、硬體製造商、託管服務提供商 (MSP)、IT服務供應商等。攻擊者透過入侵這些供應鏈上的節點，將惡意代碼或後門植入其提供的產品或服務中，然後利用受害者對供應商的信任關係，將惡意軟體「合法地」傳播到下游的大量目標用戶，從而實現對最終目標的間接入侵 ⁵²。

供應鏈攻擊的核心在於將「信任」武器化。組織通常會信任其上游供應商提供的軟體更新、硬體組件和雲服務是安全的，並為其開放必要的系統權限。攻擊者正是利用了這種信任關係，將惡意代碼或行為偽裝成合法的更新、軟體或通信。這種攻擊模式的崛起，迫使網路安全防禦從關注單個組織的邊界防護，轉向對整個供應鏈生態系統的安全性和可信度進行評估和管理，這對現有的安全框架和實踐提出了巨大挑戰。

攻擊者入侵供應鏈的方法多種多樣，常見的包括：

• 直接入侵協力供應商的網路： 攻擊者可能會利用供應商自身網路安全防護的不足，直接滲透其開發環境、代碼倉庫或分發系統 ⁵³。

• 竊取供應商的合法憑證： 透過網路釣魚、惡意軟體或其他手段，竊取供應商開發人員、系統管理員或具有軟體簽署、上傳更新權限的員工的登入憑證。獲得這些憑證後，攻擊者可以冒充合法身份進行惡意操作 ⁵³。

• 污染開源軟體或第三方組件： 許多軟體產品依賴於大量的開源庫或第三方組件。攻擊者可能向這些廣泛使用的組件中植入惡意代碼，或者創建惡意的組件庫，等待下游開發者在不知情的情況下將其整合到自己的產品中。

• 劫持軟體更新機制： 這是供應鏈攻擊中最為常見也最具威力的一種形式。攻擊者在入侵軟體供應商後，會篡改其正常的軟體更新包，將惡意後門或木馬程序（如SUNBURST後門）植入其中。當用戶下載並安裝看似合法的軟體更新時，惡意程式便隨之進入目標系統 ⁵³。

• 硬體層面的供應鏈攻擊： 雖然更為複雜和罕見，但也存在攻擊者在硬體（如晶片、網路設備）的設計、製造或運輸環節植入後門或惡意功能的可能性。

供應鏈攻擊之所以受到攻擊者（尤其是具有國家背景的高級持續性威脅APT組織）的青睞，原因在於其具備多方面的「優勢」：

• 高效率與廣泛影響： 一次成功的供應鏈攻擊，可以同時感染該供應商的所有下游客戶，迅速擴大攻擊範圍，造成大規模影響。特別是在軟體自動更新機制普遍應用的情況下，惡意更新可以在短時間內悄無聲息地部署到成千上萬的系統中 ⁵³。

• 高隱蔽性： 由於惡意代碼是透過受信任的渠道（如合法的軟體更新、來自可信供應商的軟體包）進入目標系統，因此很難被傳統的基於簽名或邊界的安全防護產品所檢測。攻擊者可以在目標網路中潛伏數月甚至數年而不被發現。

• 繞過目標直接防禦： 即使最終目標組織擁有非常強大的網路安全防護體系，供應鏈攻擊也可以透過攻擊其防護相對薄弱的供應商來「繞道」滲透。

• 實現精準打擊： 攻擊者可以透過選擇特定的軟體供應商或特定版本的軟體進行投毒，從而實現對特定行業、特定地區或特定類型目標的精準打擊 ⁵³。

近年來最為臭名昭著的供應鏈攻擊案例之一便是2020年底曝光的 SolarWinds Orion事件。攻擊者（被認為是與俄羅斯有關的APT組織）成功入侵了IT管理軟體供應商SolarWinds的開發系統，並將一個名為SUNBURST的惡意後門植入了其Orion平台的軟體更新中。由於Orion平台被全球大量政府機構（包括美國多個聯邦部門）和大型企業廣泛使用，這次攻擊導致約18000個SolarWinds客戶下載了惡意更新，其中一部分高價值目標隨後遭到了更深層次的滲透和數據竊取 ⁵³。SolarWinds事件充分暴露了現代軟體供應鏈的脆弱性以及供應鏈攻擊的巨大潛在危害。

有效應對供應鏈攻擊，需要從技術、流程和治理等多個層面進行系統性變革。這不僅僅是單個組織的責任，更需要整個行業乃至國際社會的共同努力，建立覆蓋整個供應鏈生命週期的安全保障體系和信任機制。這包括加強對供應商的安全審查和認證、推行軟體物料清單 (SBOM) 以提高軟體組件的透明度、採用零信任安全架構、強化對軟體更新過程的監控和驗證、以及促進供應鏈威脅情報的共享等。

---

表三：知名零日漏洞經紀人/平台與價格區間參考

備註：上表價格和資訊主要基於所提供的研究資料，實際市場價格可能因時間、漏洞具體情況和交易條件而有很大差異。由於市場的高度機密性，完整和最新的價格資訊難以獲取。

---

三、各國網路武器相關法規限制與國際公約

隨著網路武器的威脅日益凸顯，國際社會和各國政府開始嘗試透過法律和規範來約束其開發、擴散和使用。然而，由於網路空間的獨特性質（如無國界性、歸因困難、軍民兩用性等），以及各國在戰略利益和網路主權認知上的差異，相關的法律框架仍處於發展和探索階段，且面臨諸多挑戰。

3.1 國際層面

在國際層面，目前尚無專門針對網路武器的具有普遍約束力的國際條約，類似於核武器、化學武器或生物武器的管制公約。相關的規範努力主要體現在對現有國際法的適用性探討，以及在特定領域（如軍商兩用物項出口管制）的合作機制。

3.1.1 《塔林手冊》的指導原則與影響

《塔林手冊》(Tallinn Manual on the International Law Applicable to Cyber Warfare) 是在網路空間國際法領域影響最為深遠的學術成果之一。它由北約合作網路防禦卓越中心 (NATO Cooperative Cyber Defence Centre of Excellence, CCDCOE) 組織國際法專家編撰，第一版於2013年發布，後續進行了更新和擴展（如2017年的Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations，將範圍從網路戰擴展到平時的網路行動）。

《塔林手冊》並非一份具有法律約束力的條約或官方文件，而是一部旨在闡明現有國際法（特別是武裝衝突法、國家責任法、人權法等）如何適用於網路空間行動的學術性指南 ⁵。其核心目標是為國家、國際組織和學者在評估網路行動的合法性時提供一個參考框架。

手冊的主要貢獻和影響體現在以下幾個方面：

• 確認國際法適用於網路空間： 手冊的一個基本前提是，現有的國際法原則，如主權原則、不干涉內政原則、禁止使用武力原則以及武裝衝突法等，同樣適用於國家在網路空間的行為。

• 界定「網路攻擊」(Cyber Attack)： 手冊根據武裝衝突法的要求，將法律意義上的「網路攻擊」界定為「那些可合理預期造成人員傷亡或有形物體損壞或摧毀的網路行動」⁶。這意味著，僅造成數據丟失、系統癱瘓（但未造成物理損害）或純粹的網路間諜活動，可能不構成武裝衝突法意義上的「攻擊」，從而不直接觸發戰爭法的適用，儘管它們可能違反其他國際法規則（如主權原則）。

• 強調區分原則 (Principle of Distinction) 和比例原則 (Principle of Proportionality)： 在適用武裝衝突法時，手冊強調攻擊方必須嚴格區分軍事目標與民用物體/平民，不得直接攻擊後者。同時，即使攻擊的是合法軍事目標，如果預期對平民造成的附帶損害與預期的具體和直接軍事利益相比過當，則該攻擊也可能因違反比例原則而被禁止。

• 探討「無差別網路武器」： 手冊指出，如果一種網路武器的設計使其產生的效果無法得到有效控制，從而可能失控地擴散到民用電腦系統，則該武器可能被視為「無差別武器」，其使用將受到國際法的嚴格限制或禁止 ⁴。

• 對特定網路行動的法律分析： 手冊還對諸如網路詭雷 (cyber booby-traps)、利用網路手段造成平民飢餓、以及對關鍵基礎設施的攻擊等具體場景進行了法律分析 ⁵。

《塔林手冊》作為學術界對網路空間國際法適用的重要詮釋，其主要影響力在於「規範塑造」——即為國家行為提供了一個基於現有國際法的參考框架和討論平台，推動了對網路行動合法性標準的共識建立。它促使各國政府和軍方更加重視網路行動的法律意涵，並在制定相關政策和軍事條令時參考其原則。然而，由於其非約束性以及各國在網路主權、自衛權解釋和實際網路能力上的差異，手冊的原則在主權國家的具體實踐中常常面臨「張力」。在涉及核心國家安全、情報收集或戰略威懾時，國家可能傾向於對國際法規則進行有利於自身行動的解釋，或在實踐中有所保留。網路攻擊的匿名性和歸因困難也使得追究違反國際法行為的責任變得複雜，削弱了法律規則的威懾力。因此，儘管《塔林手冊》在推動網路空間國際法治方面扮演了重要的啟蒙和引導角色，其原則的最終落實，仍取決於主權國家在複雜的國際政治和安全環境中的意願與博弈。

3.1.2 《瓦聖那協定》與軍商兩用出口管制

《瓦聖那協定》(Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies) 是一個成立於1996年的多邊出口管制機制，目前有40多個參與國，包括美國、俄羅斯、多數歐盟國家等主要工業化國家（中國目前不是成員國）。其宗旨是透過促進常規武器和軍民兩用貨品及技術轉讓的透明度和更大責任感，來防止此類物項的過度積累和向令人擔憂的目的地（如恐怖組織或支持擴散的國家）擴散，從而維護地區及國際安全與穩定 ¹⁵。

《瓦聖那協定》本身不具有法律約束力，它依賴於各參與國根據協定達成的共識，自行制定和實施國內的出口管制法律和法規。協定會定期更新其管制的軍品清單和軍民兩用貨品及技術清單。

在網路武器領域，一個重要的里程碑是2013年12月的瓦聖那協定全會。在這次會議上，參與國同意將特定類別的「網路監視系統」和「入侵軟體」(Intrusion Software) 及其相關的系統、設備、組件和開發技術，首次明確列入其軍民兩用管制清單中 ¹⁴。這一舉措的背景是，國際社會日益擔憂這類技術被用於惡意的網路攻擊、大規模監控以及侵犯人權。

根據協定文本及後續各國的轉化實踐（如美國商務部工業與安全局BIS在《出口管理條例EAR》中的規定），「入侵軟體」通常被定義為：經專門設計或修改，用於規避電腦或具備聯網能力的設備的監測工具的偵測，或突破其防護性反制措施，並且能夠執行以下任一功能的軟體：(a) 從電腦或具備聯網能力的設備中提取數據或資訊，或修改系統或用戶數據；或 (b) 修改程式或進程的標準執行路徑，以允許執行外部提供的指令 ¹⁸。

相應地，與「入侵軟體」相關的硬體（如用於生成、操作、傳遞或與入侵軟體通信的系統、設備、組件）和技術（如開發入侵軟體的技術）也被納入了管制範圍。例如，美國為此設立了新的出口管制分類號碼 (ECCN)，如4A005（入侵軟體相關硬體）、4D004（入侵軟體本身）和4E001.c（開發入侵軟體的技術）¹⁷。歐盟的軍商兩用貨品及技術出口管制清單也與瓦聖那協定的內容保持一致 ¹³。

然而，《瓦聖那協定》對「入侵軟體」的管制在實踐中引發了相當大的爭議和挑戰。許多網路安全公司、研究機構和技術專家擔憂，協定中對「入侵軟體」的定義過於寬泛和模糊，可能無意中將許多合法的、用於網路安全防禦、滲透測試、漏洞研究、事件響應和學術研究的工具和技術也涵蓋在內，從而對正常的網路安全實踐和國際技術交流造成不必要的阻礙 ¹⁸。例如，微軟公司就曾公開表達對此定義的擔憂，認為它可能影響惡意軟體研究、漏洞測試、安全工具開發以及與安全社群的資訊共享等九大方面的正常運作，並呼籲美國政府與瓦聖那協定成員國重新協商，制定更為精準和合理的管制規則 ¹⁸。

《瓦聖那協定》在網路武器管制上的努力，其「象徵意義」大於「實效」。作為目前國際上針對網路武器（特別是「入侵軟體」）擴散進行管制的最主要多邊機制，它確立了對這類技術進行出口管制的原則。然而，其在實踐中面臨諸多困境：首先，對「入侵軟體」等關鍵術語的定義難以達成精確且普遍接受的共識，導致各國在國內立法和執法尺度上可能存在差異；其次，協定本身依賴於成員國的自願遵守和共識決策，缺乏強有力的監督和執行機制；再次，網路技術的快速迭代特性使得管制清單很容易滯後於技術發展；最後，一些主要的網路武器開發和出口國（如以色列的部分公司）或潛在市場（如中國）並非協定成員，導致管制範圍存在漏洞。這些因素共同制約了《瓦聖那協定》在有效遏制全球網路武器擴散方面的實際效果，使其更多時候停留在原則宣示的層面。

3.1.3 其他國際努力與挑戰 (如聯合國相關討論)

除了《塔林手冊》的學術指引和《瓦聖那協定》在出口管制方面的嘗試外，聯合國 (UN) 框架下的相關討論也是國際社會應對網路安全挑戰的重要平台。自2004年以來，聯合國先後成立了多屆「政府專家組」(Group of Governmental Experts, GGE) 和自2019年開始的「開放式工作組」(Open-ended Working Group, OEWG)，旨在就資訊和電信領域在國際安全背景下的發展問題進行研究，並提出國家在網路空間負責任行為的規範、規則和原則建議。

這些討論取得了一些進展，例如確認國際法（包括《聯合國憲章》）適用於網路空間，並提出了一些自願性、非約束性的國家行為規範，如國家不應利用信息通信技術 (ICTs) 損害他國關鍵基礎設施、應合作打擊利用ICTs進行的恐怖主義和犯罪活動等。然而，在諸如網路攻擊的確切定義、主權在網路空間的適用範圍、以及是否需要制定新的具有法律約束力的國際條約等核心問題上，各國之間仍存在顯著分歧。

主要的挑戰包括：

• 缺乏普遍共識： 各國在網路安全威脅認知、國家利益訴求以及對網路空間治理模式的看法上存在差異，難以就具有實質性約束力的規則達成一致。

• 主權優先原則的制約： 許多國家（特別是一些發展中大國）強調網路主權的絕對性，對任何可能限制其在網路空間行動自由或要求其承擔過多國際義務的提議持謹慎態度。這使得國際合作往往停留在自願和非約束性的層面。

• 歸因與核查的困難： 網路攻擊的匿名性和溯源的技術複雜性，使得確定攻擊發起方並追究其國家責任極為困難。這也為國際規則的有效執行和爭端解決機制（如果有的話）的建立帶來了巨大障礙。

• 軍民兩用技術的模糊性： 大量網路技術和工具具有軍民兩用性，難以明確界定何為「網路武器」，何為正常的IT產品或安全工具，這為軍備控制和不擴散努力增加了複雜性。

• 快速演變的技術環境： 網路技術和攻擊手段日新月異，任何試圖制定固定規則的努力都很容易滯後於現實發展。

此外，在特定領域如零日漏洞交易的國際監管方面，也面臨巨大阻力。有觀點認為，由於俄羅斯和以色列等在漏洞市場中扮演重要角色的國家對加強監管不感興趣，達成相關國際協定的可能性很小 ²¹。同時，一些學術機構和非政府組織，如斯德哥爾摩國際和平研究所 (SIPRI)，也在積極研究如何改進對監控技術等特定網路工具的出口管制，並推動更負責任的國際實踐 ¹³。

總體而言，網路武器的國際管制呈現出一種「碎片化」的狀態，缺乏一個統一的、具有權威性的全球治理框架。各種努力（如《瓦聖那協定》、聯合國GGE/OEWG、區域性倡議等）並行存在，但往往受到「主權優先」原則的制約。各國在口頭上支持網路空間的和平與穩定，但在實際行動中，往往將維護自身國家安全和戰略優勢置於首位，導致國際規範的建立和遵守充滿了博弈與妥協。網路武器本身的無形性、軍民兩用性和歸因困難等特性，也使得傳統的基於物理武器的軍備控制模式難以簡單移植到網路空間，對國際社會的智慧和合作提出了前所未有的考驗。

---

3.2 主要國家/地區現行法規

各主要國家和地區也根據自身國情和戰略考量，制定了一系列與網路安全、網路犯罪、數據保護以及特定情況下可能涉及網路武器管制的國內法律法規。

3.2.1 美國

美國擁有全球領先的網路攻防能力，其相關法律框架也較為複雜，旨在維護國家網路安全、打擊網路犯罪、保護關鍵基礎設施和個人數據，同時也為其在全球網路空間的行動提供法律依據和規範出口管制。

• 《電腦欺詐和濫用法案》(Computer Fraud and Abuse Act, CFAA)： 這是美國打擊電腦駭客和網路犯罪的基礎性聯邦立法，禁止未經授權訪問受保護的電腦和網路、傳播惡意代碼、非法販運密碼等行為。企業必須了解CFAA以保護自身並確保員工行為不違法，特別是在訪問第三方系統時 ⁵⁸。

• 《電子通訊隱私法》(Electronic Communications Privacy Act, ECPA)： 保護電子郵件、語音留言和數據傳輸等電子通訊的隱私。企業在監控員工通訊或訪問存儲數據時必須遵守特定程序 ⁵⁸。

• 《網路安全資訊共享法》(Cybersecurity Information Sharing Act, CISA)： 旨在促進私營實體與聯邦政府之間共享網路威脅資訊，並為參與共享的組織提供一定的責任保護，以提升整體網路安全防禦能力 ⁵⁸。

• 出口管制法規：

• 《出口管理條例》(Export Administration Regulations, EAR)： 由商務部工業與安全局 (BIS) 管理，控制軍民兩用物項的出口。如前所述，EAR根據《瓦聖那協定》的共識，對「入侵軟體」等「網路安全物項」的出口、再出口和國內轉讓實施許可證管制，特別是針對中國、俄羅斯等40多個國家 ¹⁵。

• 《國際武器貿易條例》(International Traffic in Arms Regulations, ITAR)： 由國務院管理，管控美國國防物品（包括特定軟體和技術資訊）的出口，規定非美國人不得訪問存放在ITAR環境中的受控物品，除非獲得特殊授權或許免 ⁵⁹。AWS GovCloud (US) 即是為滿足ITAR等合規性要求而設立的隔離雲環境。

• 關鍵基礎設施保護與事件報告： 《關鍵基礎設施網路事件報告法案》(Cyber Incident Reporting for Critical Infrastructure Act of 2022, CIRCIA) 要求關鍵基礎設施營運者向網路安全與基礎設施安全局 (CISA) 報告重大網路事件和勒索軟體支付情況 ⁵⁹。

• 行業特定法規與州法： 聯邦層面還有針對特定行業的數據保護和網路安全法規，如針對醫療行業的《健康保險流通與責任法案》(HIPAA) 和針對金融行業的《格雷姆-里奇-比利雷法案》(GLBA) ⁵⁸。此外，各州也紛紛出台數據隱私和網路安全立法，其中加州的《消費者隱私法案》(CCPA) 及其修訂案《加州隱私權法案》(CPRA) 影響尤為深遠，為企業設定了全面的數據保護和安全實踐要求 ⁵⁸。

美國的網路武器相關法規體現了其「雙重目標」：一方面，透過強大的情報機構（如NSA）和軍事網路司令部 (USCYBERCOM) 發展和運用先進的網路攻防能力，以維護其在全球網路空間的戰略優勢和國家安全；另一方面，透過CFAA等法律打擊國內外網路犯罪，並透過EAR和ITAR等出口管制法規，試圖控制敏感網路技術和工具的擴散，防止其落入敵對國家或非國家行為者手中。然而，這種平衡術充滿了內在張力。例如，政府對漏洞的儲備和利用（Vulnerability Equities Process, VEP試圖平衡披露與利用的關係，但其運作不透明常受詬病）與其推動軟體供應商及時修補漏洞的努力之間，就可能存在矛盾。同時，如何在維護國家安全的同時，充分保護公民的隱私權和言論自由，也是美國網路法律體系持續面臨的挑戰。

3.2.2 歐盟

歐盟在網路安全和相關技術管制方面，近年來採取了一系列立法措施，其主要驅動力來自於保護公民基本權利（特別是數據隱私）、提升關鍵基礎設施和數位服務的網路韌性，以及確保歐盟數位單一市場的健康發展。

• 《歐盟軍民兩用物項出口管制條例》(EU Dual-use Regulation)： 最新版本為Regulation (EU) 2021/821。該條例為歐盟成員國對軍民兩用物項（包括軟體和技術）的出口設定了共同標準。其中一個重要的新增內容是針對未在管制清單中列出的「網路監視物項」(cyber-surveillance items) 引入了一項新的「全面控制」(catch-all control) 機制。該機制要求出口商在知曉其出口的網路監視物項可能被用於侵犯人權或違反國際人道法時，必須申請出口許可，即使這些物項本身未被明確列入管制清單 ¹³。條例將「網路監視物項」定義為「經專門設計，透過監控、提取、收集或分析來自資訊和電信系統的數據，以實現對自然人進行隱蔽監視的軍民兩用物項」¹³。這一規定體現了歐盟在技術出口管制中對人權因素的高度重視。

• 《網路與資訊系統安全指令》(NIS Directive) 及其修訂版 (NIS 2 Directive)： NIS指令 (2016年) 是歐盟首個針對網路安全的立法，旨在提升整個歐盟的網路與資訊系統的整體安全水平。其修訂版NIS 2指令 (Directive (EU) 2022/2555) 於2022年底生效，進一步擴大了適用範圍（涵蓋更多行業的「重要實體」和「關鍵實體」），提出了更嚴格的風險管理措施和事件報告要求，並賦予國家主管機構更大的執法權力和處罰權力 ⁶²。成員國需在2024年10月17日前將NIS 2指令轉化為國內法。

• 《網路韌性法案》(Cyber Resilience Act, CRA)： 該法案 (Regulation (EU) 2024/2847) 旨在確保投放歐盟市場的具有數位元素的產品（如物聯網IoT設備、軟體）在其整個生命週期內都符合基本的網路安全要求。法案強調「設計安全」(security-by-design) 原則，要求製造商對其產品的漏洞負責，提供安全更新，並對已知的已遭利用漏洞進行及時通報。不符合規定的產品可能面臨罰款或被禁止進入歐盟市場 ⁶²。

• 《數位營運韌性法案》(Digital Operational Resilience Act, DORA)： 專門針對金融行業 (Regulation (EU) 2022/2554)，旨在加強銀行、保險公司、投資公司等金融實體的資通訊技術 (ICT) 風險管理能力，對其網路安全和營運韌性提出了嚴格要求，並規範了對關鍵ICT第三方服務提供商的監管 ⁶²。

• 其他相關法規： 如《通用數據保護條例》(GDPR) 為個人數據的處理和保護設立了高標準。歐盟網路安全局 (ENISA) 在協調成員國網路安全事務、提供專業知識和促進資訊共享方面也扮演重要角色 ⁶⁵。

歐盟在網路武器和監控技術管制方面的立法，呈現出鮮明的「人權導向」和「市場統一」的雙重驅動特徵。一方面，歐盟高度關注先進網路技術（尤其是監控技術）可能被用於侵犯基本人權（如隱私權、言論自由）的風險，因此在出口管制中加入了嚴格的人權評估條款。另一方面，透過NIS 2指令、CRA等立法，歐盟力圖在其內部建立一個高水平、協調一致的網路安全標準和監管框架，以保障數位單一市場的運作安全和公民對數位技術的信任。然而，歐盟的努力也面臨挑戰，例如成員國在具體執行出口管制和國內網路安全法規時可能存在差異，以及在界定「隱蔽監視」等關鍵概念時可能存在模糊性，這都考驗著歐盟立法的實際效力 ¹³。

3.2.3 俄羅斯

俄羅斯將網路空間視為國家力量角逐的重要場域，其相關法律法規和機構設置主要服務於強化國家對資訊的控制、提升網路攻防能力以及在國際上推行其網路治理理念。

• 機構設置： 俄羅斯主要的網路作戰力量來自聯邦安全局 (FSB)、軍隊總參謀部情報總局 (GRU) 以及對外情報局 (SVR) ⁴¹。FSB側重於反情報和國內安全，GRU則負責軍事情報和網路攻擊行動。聯邦警衛局 (FSO) 負責高級政府官員的安全，也承擔部分資訊安全職責。俄羅斯也設有電腦事件應急響應小組 (CIRT) 和金融行業的CERT ⁴¹。

• 法律框架的雙重性： 俄羅斯憲法宣稱保障公民的隱私權，規定未經同意不得收集、保存、使用和傳播個人私生活資訊 ⁴¹。然而，實際操作中，一系列法律法規賦予了政府廣泛的監控權力。聯邦通信、資訊科技和大眾傳媒監督局 (Roskomnadzor) 與FSB等機構緊密合作，對網路內容進行審查，壓制異見聲音，並懲罰所謂的「網路煽動者」⁴¹。

• 數據本地化法律： 俄羅斯自2006年起實施數據本地化法律，要求收集俄羅斯公民個人數據的營運商必須將數據存儲在俄羅斯境內的伺服器上 ⁴¹。這一規定被認為旨在方便俄羅斯政府訪問相關數據，並對外國科技公司在俄運營構成壓力。

• 「互聯網黑名單法」： 2012年通過的聯邦法律第139-FZ號修正案（常被稱為「互聯網黑名單法」或第89417-6號法案），允許政府建立一個黑名單系統，用於阻止公眾訪問包含兒童色情、毒品宣傳、自殺教唆以及其他被法院認定為有害內容的網站。該法案賦予Roskomnadzor廣泛的權力來封鎖網站和IP位址，引發了對網路審查和言論自由受限的擔憂 ⁶⁶。

• 「資訊對抗」(Informatsionnoye Protivoborstvo, IPb) 觀念： 俄羅斯軍事和情報界高度重視「資訊對抗」，將其視為具有戰略決定性意義的手段，用於控制國內民眾和影響敵對國家。IPb不僅包括網路攻擊、防禦和利用等技術層面的行動，也包括旨在改變人們行為或信仰以服務於俄羅斯政府目標的心理和資訊操作 ²。

• 對國際規範的態度： 俄羅斯在國際場合積極推動其「網路主權」理念，主張各國有權管理本國網路空間，並對西方國家主導的網路治理模式持批評態度。在網路衝突中，俄羅斯被指多次違反國際規範，例如被指控對愛沙尼亞、烏克蘭等國發動大規模網路攻擊，以及利用網路手段干預他國選舉等。其在烏克蘭衝突中使用集束彈藥等行為 ⁶⁷，雖然不直接是網路武器，但也反映了其在遵守國際人道法方面可能存在的選擇性。

俄羅斯在網路空間的法律和政策，明顯服務於其強化國家控制和提升國際影響力的戰略目標。其法律框架在名義上保護公民權利的同時，實質上為政府的廣泛監控和資訊操縱提供了法律依據。俄羅斯傾向於利用法律和非國家行為者（如愛國駭客、犯罪團夥）在網路空間製造「灰色地帶」，實施難以明確歸因的攻擊和影響力行動，以達成其地緣政治目的。這種策略運用對國際網路空間的穩定和可預測性構成了持續挑戰。

3.2.4 中國

中國將網路空間視為國家主權的重要組成部分和實現「網路強國」戰略的關鍵領域。其相關法律法規體系近年來迅速發展，核心目標是加強黨和政府對網路空間的全面控制，保障國家安全和社會穩定，促進數位經濟發展，並提升在全球網路治理中的話語權。

• 《中華人民共和國網路安全法》(2017年施行)： 這是中國網路領域的基礎性法律，確立了網路空間主權原則，強調網路安全與資訊化發展並重，以及政府、企業、社會組織和公民共同參與網路治理的原則 ⁶⁸。該法對網路營運者設定了廣泛的安全保護義務，包括建立內部安全管理制度、採取技術防護措施、報告網路安全事件等。同時，該法強化了個人資訊保護的要求，規定收集和使用個人資訊應當遵循合法、正當、必要的原則，並取得用戶同意 ⁶⁸。此外，法律還規定了關鍵資訊基礎設施 (CII) 營運者在數據跨境傳輸方面的義務，要求在中國境內收集和產生的個人資訊和重要數據原則上應當在境內存儲，確需向境外提供的，應進行安全評估 ⁶⁸。

• 《網路產品安全漏洞管理規定》(2021年施行)： 這部由工業和信息化部、國家互聯網信息辦公室、公安部聯合發布的規定，對網路產品（包括軟硬體）提供者和網路營運者在漏洞發現、報告、修補和發布等環節的責任作出了詳細規定。其中最具爭議性也最能體現國家對漏洞控制意圖的條款是，要求漏洞發現者（包括企業和個人研究者）在發現漏洞後，應當在2日內向工業和信息化部網路安全威脅和漏洞資訊共享平台報送相關漏洞資訊，並且禁止在向產品提供者通報漏洞的同時擅自向境外組織或個人提供漏洞資訊，也禁止在產品提供者提供修補方案前公開發布漏洞細節 ³⁷。這一規定被廣泛認為是中國政府試圖優先掌握和利用高價值漏洞（特別是零日漏洞）的舉措，為國家支持的網路攻擊和情報收集活動提供「彈藥庫」，實質上是將國內的網路安全研究生態「武器化」³⁷。

• 「網路主權」(Cyber Sovereignty) 理念的推行： 中國在國內立法和國際場合一貫強調「網路主權」原則，認為各國有權根據本國國情管理本國網際網路，反對外部干涉。這一理念是其網路治理政策的核心支撐 ³⁷。

• 國家網路力量的建設與「軍民融合」： 中國人民解放軍戰略支援部隊 (SSF) 被認為是其主要的網路作戰力量。同時，國家安全部 (MSS) 也深度參與網路間諜活動和攻擊行動的策劃與實施。中國積極推動「軍民融合」戰略在網路安全領域的應用，動員國內的IT企業、網路安全公司、高等院校和科研機構參與國家網路能力的建設，包括漏洞研究、工具開發和人才培養 ³⁷。MSS等機構常被指利用承包商和民間駭客執行國家支持的網路行動，以增加行動的隱蔽性和可否認性 ³⁷。

  ---

Works cited

1. Cyberwarfare - Wikipedia, accessed May 30, 2025, https://en.wikipedia.org/wiki/Cyberwarfare

2. Cyberwarfare by Russia - Wikipedia, accessed May 30, 2025, https://en.wikipedia.org/wiki/Cyberwarfare_by_Russia

3. Fractional Dynamics of Stuxnet Virus Propagation in Industrial Control Systems - MDPI, accessed May 30, 2025, https://www.mdpi.com/2227-7390/9/17/2160

4. www.nextgen50.org, accessed May 30, 2025, https://www.nextgen50.org/insecurity/analysis/the-tallinn-manual#:~:text=The%20Tallinn%20Manual%20stated%20that,%E2%80%A6%20computers'%20%5B7%5D.

5. The Tallinn Manual - NextGen 5.0, accessed May 30, 2025, https://www.nextgen50.org/insecurity/analysis/the-tallinn-manual

6. Legality of Cyber Operations in the Israel-Hezbollah War - NUS Centre for International Law, accessed May 30, 2025, https://cil.nus.edu.sg/blogs/legality-of-cyber-operations-in-the-israel-hezbollah-war/

7. Cyber warfare and autonomous self-defence - SciSpace, accessed May 30, 2025, https://scispace.com/pdf/cyber-warfare-and-autonomous-self-defence-38pobgyhq4.pdf

8. The Promises and Perils of a Minimum Cyber Deterrence Posture, accessed May 30, 2025, https://hcss.nl/wp-content/uploads/2022/04/Cyber-Deterrence-Final.pdf

9. Article 36 reviews: dealing with the challenges posed by emerging technologies - SIPRI, accessed May 30, 2025, https://www.sipri.org/sites/default/files/2017-12/article_36_report_1712.pdf

10. CYBER WARFARE - Doria, accessed May 30, 2025, https://www.doria.fi/bitstream/handle/10024/91529/Vankka_verkkoversio.pdf?sequence=2

11. 零時差攻擊: 一秒癱瘓世界! 紐約時報記者追蹤7年、訪問逾300位關鍵人物, 揭露21世紀數位軍火地下產業鏈的暗黑真相 誠品線上- 閱讀與生活的無盡想像, accessed May 30, 2025, https://www.eslite.com/product/1001156502682073148001

12. 零時差攻擊：一秒癱瘓世界！《紐約時報》記者追蹤7年、訪問逾300位關鍵人物，揭露21世紀數位軍火地下產業鏈的暗黑真相 - 博客來, accessed May 30, 2025, https://www.books.com.tw/products/0010903622

13. Making the most of the EU catch-all control on cyber-surveillance exports | SIPRI, accessed May 30, 2025, https://www.sipri.org/commentary/topical-backgrounder/2024/making-most-eu-catch-all-control-cyber-surveillance-exports

14. Spyware as a service: Challenges in applying export controls to cloud-based cyber-surveillance software | SIPRI, accessed May 30, 2025, https://www.sipri.org/commentary/topical-backgrounder/2025/spyware-service-challenges-applying-export-controls-cloud-based-cyber-surveillance-software

15. Commerce Publishes Export Controls for Cybersecurity Intrusion and Surveillance Tools, accessed May 30, 2025, https://www.dwt.com/blogs/privacy--security-law-blog/2021/11/commerce-department-cybersecurity-export-controls

16. UK Strategic Export Control List - GOV.UK, accessed May 30, 2025, https://assets.publishing.service.gov.uk/media/682b501f256994af4172ac03/uk_export_control_list_2025.pdf

17. Wassenaar Arrangement 2013 Plenary ... - Federal Register, accessed May 30, 2025, https://www.federalregister.gov/documents/2015/05/20/2015-11642/wassenaar-arrangement-2013-plenary-agreements-implementation-intrusion-and-surveillance-items

18. oversight.house.gov, accessed May 30, 2025, https://oversight.house.gov/wp-content/uploads/2016/01/Goodwin-Microsoft-Statement-1-12-Wassenaar.pdf

19. 零日漏洞（0-Day Vulnerabilities）vs 零日攻擊（0-Day ... - 晟崴科技, accessed May 30, 2025, https://www.neway.com.tw/article-detail/0-day-vulnerabilities-vs-0-day-attacks/

20. 什麼是零時差漏洞利用？| 零時差威脅| Cloudflare, accessed May 30, 2025, https://www.cloudflare.com/zh-tw/learning/security/threats/zero-day-exploit/

21. 零日攻擊- 維基百科，自由的百科全書 - 维基百科 - Wikipedia, accessed May 30, 2025, https://zh.wikipedia.org/zh-mo/%E9%9B%B6%E6%97%A5%E6%BC%8F%E6%B4%9E?oldformat=true

22. 【Fortinet報告】AI與自動化成攻擊新武器加大網絡犯罪規模- wepro180, accessed May 30, 2025, https://www.wepro180.com/%E3%80%90fortinet%E5%A0%B1%E5%91%8A%E3%80%91ai%E8%88%87%E8%87%AA%E5%8B%95%E5%8C%96%E6%88%90%E6%94%BB%E6%93%8A%E6%96%B0%E6%AD%A6%E5%99%A8%E3%80%80%E5%8A%A0%E5%A4%A7%E7%B6%B2%E7%B5%A1%E7%8A%AF%E7%BD%AA/

23. 2022年暗网市场三大趋势- 安全内参| 决策者的网络安全知识库, accessed May 30, 2025, https://www.secrss.com/articles/48824

24. Cyber Warfare Market Size, Share, Trends & Growth [2033], accessed May 30, 2025, https://www.astuteanalytica.com/industry-report/cyber-warfare-market

25. BEFORE THE BANGKOK CIVIL COURT Jatupat Boonpattararaksa V NSO Group Technologies Ltd.(Black Case No. Por 3370/2566). AMICUS CURI, accessed May 30, 2025, https://www.nsogroup.com/wp-content/uploads/2024/09/ASA3984652024ENGLISH.pdf

26. GeckoSpy: Pegasus Spyware Used against Thailand's Pro ..., accessed May 30, 2025, https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/

27. Israeli firm helped governments hack activists, journalists and ..., accessed May 30, 2025, https://www.middleeasteye.net/news/israel-spyware-firm-sold-governments-tools-hack-activists-journalists-politicians

28. Mythical Beasts and where to find them: Mapping the global spyware market and its threats to national security and human rights - Atlantic Council, accessed May 30, 2025, https://www.atlanticcouncil.org/in-depth-research-reports/report/mythical-beasts-and-where-to-find-them-mapping-the-global-spyware-market-and-its-threats-to-national-security-and-human-rights/

29. The Hacking Team Hack (2015) - International cyber law: interactive ..., accessed May 30, 2025, https://cyberlaw.ccdcoe.org/wiki/The_Hacking_Team_Hack_(2015)

30. Hacking Team leak highlights Citizen Lab research, accessed May 30, 2025, https://citizenlab.ca/2015/08/hacking-team-leak-highlights-citizen-lab-research/

31. Candiru (spyware company) - Wikipedia, accessed May 30, 2025, https://en.wikipedia.org/wiki/Candiru_(spyware_company)

32. What is Spyware and Why Should Policymakers Care? – Third Way, accessed May 31, 2025, https://www.thirdway.org/memo/what-is-spyware-and-why-should-policymakers-care

33. is.muni.cz, accessed May 30, 2025, https://is.muni.cz/publication/1382042/2017-SPI-hacking-team-case-study-paper.pdf

34. Mapping Hacking Team's “Untraceable” Spyware - The Citizen Lab, accessed May 30, 2025, https://citizenlab.ca/2014/02/mapping-hacking-teams-untraceable-spyware/

35. NSO Group - Wikipedia, accessed May 31, 2025, https://en.wikipedia.org/wiki/NSO_Group

36. Cyber-arms industry - Wikipedia, accessed May 31, 2025, https://en.wikipedia.org/wiki/Cyber-arms_industry

37. www.uscc.gov, accessed May 30, 2025, https://www.uscc.gov/sites/default/files/2022-11/Chapter_3_Section_2--Chinas_Cyber_Capabilities.pdf

38. www.infosec.aueb.gr, accessed May 30, 2025, https://www.infosec.aueb.gr/Publications/INFOSEC-2023%20Spyware.pdf

39. Android hacks eclipse iOS exploits on vulnerability marketplace ..., accessed May 30, 2025, https://portswigger.net/daily-swig/android-hacks-eclipse-ios-exploits-on-vulnerability-marketplace

40. Volume-1-TAG-Cyber-Security-Annual-Fifty-Controls.pdf - Imperva, accessed May 30, 2025, https://www.imperva.com/docs/Volume-1-TAG-Cyber-Security-Annual-Fifty-Controls.pdf

41. Cybersecurity Profile 2025: Russia - The Henry M. Jackson School of International Studies, accessed May 30, 2025, https://jsis.washington.edu/news/cybersecurity-profile-2025-russia/

42. Unpacking Russia's cyber nesting doll - Atlantic Council, accessed May 30, 2025, https://www.atlanticcouncil.org/content-series/russia-tomorrow/unpacking-russias-cyber-nesting-doll/

43. Universidade de Brasília Instituto de Relações Internacionais (IREL) Programa de Pós-Graduação em Relações Internacionai, accessed May 30, 2025, https://www.repositorio.unb.br/bitstream/10482/42617/1/2021_EduardoArthurIzycki.pdf

44. Hellcat Ransomware Enhances Capabilities to Strike Government ..., accessed May 30, 2025, https://cyberpress.org/hellcat-ransomware-enhances-capabilities-to-strike-government/

45. Vupen - Wikipedia, accessed May 31, 2025, https://en.wikipedia.org/wiki/Vupen

46. Exodus Intelligence Government Solutions | Carahsoft, accessed May 31, 2025, https://www.carahsoft.com/exodus-intelligence/solutions

47. 去年被用來攻擊的漏洞中，高達70%為零日漏洞 - iThome, accessed May 30, 2025, https://www.ithome.com.tw/news/165559

48. xZETA - VicOne, accessed May 30, 2025, https://vicone.com/zh/products/xzeta

49. Cybersecurity in supply chains: Addressing emerging threats with strategic measures - Fair East Publishers, accessed May 30, 2025, https://www.fepbl.com/index.php/ijmer/article/view/1241/1468

50. 2021年勒索软件年终报告：黑客对零日漏洞和供应链网络的攻击不断, accessed May 30, 2025, https://www.doit.com.cn/p/477848.html

51. Dark Web, Its Impact on the Internet and the Society: A Review - ResearchGate, accessed May 30, 2025, https://www.researchgate.net/publication/357163863_Dark_Web_Its_Impact_on_the_Internet_and_the_Society_A_Review

52. 從駭客網路攻擊探討國防供應鏈資安防護趨勢之研究, accessed May 30, 2025, https://www.mnd.gov.tw/NewUpload/202109/08-%E6%9E%97%E4%BA%8E%E4%BB%A4-%E5%BE%9E%E9%A7%AD%E5%AE%A2%E7%B6%B2%E8%B7%AF%E6%94%BB%E6%93%8A%E6%8E%A2%E8%A8%8E%E5%9C%8B%E9%98%B2%E4%BE%9B%E6%87%89%E9%8F%88%E8%B3%87%E5%AE%89%E9%98%B2%E8%AD%B7%E8%B6%A8%E5%8B%A2%E4%B9%8B%E7%A0%94%E7%A9%B6_232751.pdf

53. 供應鏈攻擊： 網路犯罪分子瞄準最脆弱環節 - 保安資訊, accessed May 30, 2025, https://www.savetime.com.tw/Symantec-White-Paper/WP-Supply%20Chain%20Attacks-%20Cyber%20Criminals%20Target%20the%20Weakest%20Link-TW.pdf

54. Solar Winds Hack: In-Depth Analysis and Countermeasures | Request PDF - ResearchGate, accessed May 30, 2025, https://www.researchgate.net/publication/355897275_Solar_Winds_Hack_In-Depth_Analysis_and_Countermeasures

55. GAO-22-104746, CYBERSECURITY: Federal Response to SolarWinds and Microsoft Exchange Incidents, accessed May 30, 2025, https://www.gao.gov/assets/gao-22-104746.pdf

56. 歐盟軍商兩用貨品及技術出口管制清單暨歐盟一般軍用貨品清單 - 經濟部國際貿易署, accessed May 30, 2025, https://www.trade.gov.tw/Files/PageFile/39_403383/1012850315-1.pdf

57. 歐盟軍商兩用貨品及技術出口管制清單, accessed May 30, 2025, https://www.trade.gov.tw/App_Ashx/File.ashx?FileID=E6242B03C377533D

58. 8 US Cyber Security Laws & Regulations For Business Compliance - CMIT Solutions, accessed May 30, 2025, https://cmitsolutions.com/blog/cybersecurity-laws/

59. Key Data & Cybersecurity Laws | United States | Global Data and Cyber Handbook, accessed May 30, 2025, https://resourcehub.bakermckenzie.com/en/resources/global-data-and-cyber-handbook/north-america/united-states/topics/key-data-and-cybersecurity-laws

60. ITAR – Amazon Web Services (AWS), accessed May 30, 2025, https://aws.amazon.com/tw/compliance/itar/

61. International Traffic in Arms Regulations (ITAR) - DDTC - State Department, accessed May 30, 2025, https://www.pmddtc.state.gov/ddtc_public?id=ddtc_kb_article_page&sys_id=24d528fddbfc930044f9ff621f961987

62. The NIS 2 Directive | Updates, Compliance, Training, accessed May 30, 2025, https://www.nis-2-directive.com

63. 歐盟CRA 法規簡介——歐盟RED 以外之資安法規 - 歐恩壹檢測技術有限公司- IoT資安, accessed May 30, 2025, https://www.theonelab.co/zh/%E6%AD%90%E7%9B%9F-cra-%E6%B3%95%E8%A6%8F%E7%B0%A1%E4%BB%8B-%E6%AD%90%E7%9B%9F-red-%E4%BB%A5%E5%A4%96%E4%B9%8B%E8%B3%87%E5%AE%89%E6%B3%95%E8%A6%8F/

64. 歐盟資安韌性法(EU Cyber Resilience Act,CRA)對製造商有何影響| 趨勢科技(TW), accessed May 30, 2025, https://www.trendmicro.com/zh_tw/research/23/l/how-the-eu-resilience-act-impacts-manufacturers.html

65. Handbook on Cybersecurity - Bundesministerium für Landesverteidigung, accessed May 30, 2025, https://www.bmlv.gv.at/pdf_pool/publikationen/hb_on-cyber-defence-2-auflage_web.pdf

66. 俄罗斯互联网限制法案- 维基百科，自由的百科全书, accessed May 30, 2025, https://zh.wikipedia.org/zh-cn/%E4%BF%84%E7%BE%85%E6%96%AF%E5%9C%8B%E5%AE%B6%E6%9D%9C%E9%A6%AC89417-6%E6%B3%95%E6%A1%88?oldformat=true

67. 俄羅斯入侵烏克蘭期間集束彈藥的使用- 維基百科, accessed May 30, 2025, https://zh.wikipedia.org/zh-tw/%E4%BF%84%E7%BE%85%E6%96%AF%E5%85%A5%E4%BE%B5%E7%83%8F%E5%85%8B%E8%98%AD%E6%9C%9F%E9%96%93%E9%9B%86%E6%9D%9F%E5%BD%88%E8%97%A5%E7%9A%84%E4%BD%BF%E7%94%A8

68. Cybersecurity Law of the People's Republic of China - Wikipedia, accessed May 30, 2025, https://en.wikipedia.org/wiki/Cybersecurity_Law_of_the_People%27s_Republic_of_China

69. 深入解读《中华人民共和国网络安全法》 - 衡阳市人民政府, accessed May 30, 2025, https://www.hengyang.gov.cn/ccad/xxgk/zcjd/20240909/i3451049.html