有一次我的手機突然收到一封奇怪的簡訊,連結看起來像是銀行通知,但網址有點不對勁。

我沒點。但那個瞬間讓我意識到一件事——我們每天帶在身上的這些設備,其實比我們想像的脆弱太多了。讀完妮可·柏勒斯的 《零時差攻擊》 之後,那種不安感變得更具體了。


什麼是零時差漏洞

零時差漏洞指的是軟體或硬體中尚未被發現、尚未被修補的安全缺陷。攻擊者可以利用這些漏洞入侵系統,而開發者完全不知道問題存在——他們有「零天」的時間來防範。

類型說明
零時差漏洞尚未被發現的安全缺陷
零時差攻擊利用這些漏洞發動的攻擊
數位軍火國家級的漏洞武器庫

這些漏洞不只存在於理論中。書裡描述了一個完整的地下市場——政府、情報機構、甚至私人公司都在買賣這些漏洞,價格從幾萬美元到上百萬美元不等,而且逐年翻倍。你的安全不是被駭客打破的,是被漏洞市場標好了價格。

先說作者,因為這本書的份量跟她的身分有關。柏勒斯在《紐約時報》跑了約十一年網路安全線,報導過俄羅斯入侵核電廠與選舉、北韓攻擊索尼影業、伊朗攻擊銀行與美國大選、還有數百起中國的網路攻擊。這本書是她用下班和週末的時間、追了七年、訪談超過三百人寫成的,2021 年還拿下「金融時報與麥肯錫年度商業書大獎」,被譯成九種語言。它的調查份量,是貨真價實的。


震網病毒:網路戰爭的起點

書裡最震撼的案例是震網病毒(Stuxnet)。

這個病毒利用了多個零時差漏洞,成功入侵伊朗的核設施,讓離心機失控自毀。這是人類歷史上第一次用程式碼造成實體設備的物理破壞。

你每天帶在身上的裝置,比你以為的更容易被標上價格
零日攻擊:你不知道的網路安全漏洞,正在地下市場被買賣。

柏勒斯在書中追溯了這件事的來龍去脈。最讓人不安的不是攻擊本身,而是它打開了一扇門——從此以後,所有國家都知道「網路武器」是可行的。潘朵拉的盒子一旦打開,就再也關不上了。


影子經紀商的洩密

另一個讓我讀到背脊發涼的案例是影子經紀商(Shadow Brokers)事件。

這個神秘組織洩漏了美國國家安全局(NSA)的零時差武器庫。這些原本是國家級的機密工具,突然之間被公開在網路上。其中一個叫「永恆之藍」(EternalBlue)的漏洞利用工具,隨後被用在 2017 年北韓的 WannaCry 勒索病毒,以及俄羅斯的 NotPetya 攻擊。

NotPetya 讓烏克蘭的政府系統、企業、銀行全部癱瘓,再擴散到全世界,據白宮評估造成超過一百億美元的損失。更諷刺的是,這些武器原本是為了「保護國家安全」而開發的。為了防守而打造的武器,最後傷害了所有人。


但這是一本記者寫的、美國視角的、嚇人的書

寫到這裡,得插一段誠實話。這本書的調查很扎實,但它有三個你必須一邊讀一邊扣分的傾向。

第一,它的基調是恐懼導向的。 「一秒癱瘓世界」這種書名很抓眼球,整本書也擅長把每一個案例推到最壞的想像。問題是,讀完之後你得到的多半不是「我知道該怎麼辦」,而是一種無力的焦慮——書花了大量篇幅描述威脅有多可怕,卻在「那我這個普通人到底能做什麼」上著墨很少。恐懼很好賣,但恐懼不等於防禦。

把每件事都推到最壞,是嚇人,不是防禦
書擅長把威脅推到最壞的想像——但讀完只剩恐懼,並不會讓你更安全。

第二,它的視角高度美國中心。 這本書的核心敘事,其實是「NSA 怎麼囤積這些漏洞、又怎麼把它弄丟、美國怎麼在這場軍備競賽中慢慢落後」。其他國家比較像舞台上的背景板。前 Google Project Zero 的資深漏洞研究者 Halvar Flake(Thomas Dullien)就直接批評:書把美國描繪成唯一「尊重人權」的一方,把非美國的行為者寫得既異國又隱含威脅;甚至暗示這套漏洞技術是源自 NSA 才「擴散」到全世界——他形容這個說法「錯誤、荒謬,而且侮辱人」。看這本書,要記得你看的是一個美國記者、從華府視角講的故事。

第三,記者敘事重戲劇,技術深度相對淺、甚至有誇大。 同樣是 Flake 指出,書裡充斥最高級形容詞,把零時差講得像「隱形斗篷」(實際上攻擊者常常會被偵測到),還把 NSA「竊聽 Google 未加密的內網」誤寫成「駭進 Google 的伺服器」。工控安全專家 Dale Peterson 更直接說,書裡關於關鍵基礎設施的章節讀起來像「歷史小說」——把真實事件外推到最慘的結局,而不是還原當時的脈絡(例如烏克蘭電網其實是人工手動復電的、Wolf Creek 核電廠遭入侵的只是辦公網而非控制系統)。當你讀到那些「離全面癱瘓只差兩下點擊」的句子時,記得打點折扣。

誠實地說:當「看懂網路戰為什麼可怕、數位軍火市場長什麼樣」的入門,這本書很有震撼力、也值得讀。但把它讀成「世界末日倒數計時」就過頭了——它是一個立場鮮明的記者,把一個真實但被她調到最大聲的故事,講給你聽。


那,我們能做什麼

比起書裡的恐懼,我反而更想記住柏勒斯給的那幾個樸素建議——因為它們才是「恐懼」之後真正能拿來用的:

  1. 啟用雙因素認證:多一層保護就多一層障礙。
  2. 定期更新系統:每次更新都可能修補了一個你不知道的漏洞。
  3. 對可疑連結保持警覺:社交工程仍然是最常見的入侵手段。

這些都很基本,但就像書裡說的——最成功的攻擊往往不是靠多高深的技術,而是靠人類的疏忽。真正的安全,從來不是被一兩個聳動的故事嚇出來的,而是把這些無聊的小事,日復一日做好。

我們活在一個數位武器比核武器更容易擴散的時代。理解威脅的存在,是第一步;但把理解化成日常的習慣,才是真正的防禦。


📚 「科技與工程」系列延伸閱讀

📚 書籍資訊

  • 書名:《零時差攻擊》(This Is How They Tell Me the World Ends)
  • 作者:妮可·柏勒斯(Nicole Perlroth)
  • 核心主題:揭露零時差漏洞的地下交易市場,以及網路武器如何改變國際安全格局

🖼️ 圖片說明

文中插圖為 AI 生成插畫(Gemini 3.1 Flash Image / Nano Banana 2)。本站使用 AI 圖作為視覺輔助,依書中概念意象生成,非實拍紀錄。