“远程打工人”背后的国家级骗局：两名美国人帮朝鲜潜入上百家公司，最终获刑

一场看起来像招聘流程的问题，最后变成了国家安全事件

有时候，科技新闻最可怕的地方在于，它一开始听上去并不吓人。

这起案子表面上像是一起常见的用工欺诈：有人伪造身份、冒名求职、远程上班、骗工资。可美国司法部这次给出的信息，迅速把故事拉到了另一个量级——两名新泽西州居民 Kejia Wang 和 Zhenxing Wang，因为帮助朝鲜政府将“假 IT 员工”安插进美国公司，分别被判处 7 年半和 9 年有期徒刑。整个计划为朝鲜带来约 500 万美元收入，牵涉超过 80 名美国人的身份信息、100 多家美国企业，甚至包括《财富》500 强公司。

这已经不是“简历造假”四个字能概括的事情了。司法部的说法很直接：这些伪装成美国本土远程工程师的朝鲜 IT 人员，不只是领工资，在一些案例里还接触并窃取了商业机密和源代码。也就是说，一家企业以为自己在补一个开发岗，实际上却可能给境外情报和创收网络开了一扇门。

过去几年，大家总把网络攻击想象成黑客夜里敲代码、勒索软件突然弹窗、数据库被拖走。但这起案件提醒我们，最危险的“入侵”有时不是从防火墙外面打进来，而是穿着员工工牌、拿着公司发的笔记本电脑，大大方方从 HR 流程走进来。

“笔记本农场”这件事，听着荒诞，却非常现代

案件里一个很有时代感、也很黑色幽默的细节，是所谓的“laptop farms”，直译过来就是“笔记本农场”。

它的运作方式并不复杂，却异常有效：这些设备被放在美国境内的房屋里，远在海外的操作者再通过远程方式接入这些电脑。于是，从企业的系统日志、IP 地址、设备位置看，这名员工似乎真的“人在美国”，每天正常打卡、登录、提交代码、参加会议。你以为他在新泽西的公寓写 Python，实际上键盘可能敲在另一个国家。

根据美国检方说法，2021 年到 2024 年间，Kejia Wang 负责管理由数百台电脑组成的“笔记本农场”，而 Zhenxing Wang 则在自己家中托管部分设备。两人还设立壳公司和金融账户，为这些“假员工”收款，再把数百万美元转往海外。作为回报，他们和另外四名美国协助者一共拿到了近 70 万美元。

这套模式之所以成功，不是因为它用了多么科幻的黑科技，而恰恰因为它利用的是现实世界里已经被默认接受的工作方式：远程办公、跨州雇佣、外包团队、合同工平台、设备邮寄到家。疫情之后，这些流程被大规模标准化，企业为了提高招聘效率，往往把“快”放在了前面，把“真”放在了后面。结果就是，一套本为提升生产力设计的制度，也顺手降低了伪装的门槛。

如果说传统黑客攻击是在找系统漏洞，那这类“假员工渗透”更像是在找组织漏洞：HR 不认识人、IT 只管发设备、业务部门急着要人、财务只看账户能不能打钱。每个环节都觉得自己只是做了分内事，风险却在缝隙里完成了闭环。

为什么科技公司尤其该紧张：因为代码仓库比金库更值钱

司法部披露的一个案例尤其敏感：有假 IT 员工从一家位于加州、未具名的 AI 公司窃取了受出口管制的数据。放在 2026 年的时间点，这条信息的分量非常重。

今天的科技竞争，早就不只是产品竞争，也是模型、芯片、数据、算法、工程流程和部署能力的竞争。对一家 AI 公司来说，源代码、训练流程、内部工具链、客户数据接口，往往比一台机器、一间办公室昂贵得多。企业最怕的不是一个低水平外包员工摸鱼，而是一个高伪装、高耐心、带任务进入组织的人，长期接触你的代码仓、内部文档和生产环境。

这也是为什么这类案件越来越频繁地被美国政府放到“国家安全”语境下讨论。司法部国家安全司助理部长 John A. Eisenberg 的表态很明确：这些骗局让朝鲜 IT 人员进入毫无防备的美国公司薪资系统和计算机系统，对国家安全构成伤害。换句话说，在政府眼里，这不是普通的劳动欺诈，而是国家级对抗在企业侧的延伸。

这几年，朝鲜相关的网络行动其实早就不是新鲜事。从加密货币交易所盗窃，到对区块链项目、游戏工作室和 Web3 团队的定向渗透，朝鲜黑客组织已经形成了相当成熟的“创收体系”。过去他们更像是在链上直接抢钱，现在则开始把“合法工作”也变成融资渠道：通过真实发薪、真实协作、真实项目交付，慢慢混入企业系统，再伺机获取更高价值的信息。

这比单次勒索更隐蔽，也更麻烦。因为勒索软件会让你立刻知道出事了，而“假员工”可能半年都只是个表现尚可、摄像头坏了、口音有点奇怪、总说网络不好的远程同事。

企业真正要补的，不只是网络安全课，而是“招聘安全课”

很多公司对网络安全的理解，还停留在买防火墙、上 EDR、做钓鱼邮件演练。可这起案件告诉我们，企业安全的第一道门，可能根本不在 SOC 团队，而在招聘、入职和设备管理流程里。

一个值得反思的问题是：当企业大规模拥抱全球远程协作后，身份核验有没有同步升级？不少公司今天仍在用非常传统的方法做远程入职：视频面试看一眼脸、身份证件拍照上传、电脑快递到一个美国地址，就算完成了背景验证。可在“深伪视频”“代面试”“多重代理 IP”“美国本地收货点”已经高度成熟的情况下，这套机制其实相当脆弱。

更麻烦的是，科技行业长期存在“工程师稀缺焦虑”。团队赶项目，看到简历漂亮、GitHub 体面、面试答得过关，就容易一路绿灯。尤其是初创公司和高速扩张中的 AI 企业，往往更重效率而不是审查深度。可从这次案件看，越是掌握关键代码、模型资产和客户接口的公司，越不能把招聘当作纯人事流程。

我越来越觉得，未来企业的安全体系里会出现一个更明确的新概念：employment security，也就是“用工安全”。它不仅包括身份验证、设备地理位置校验、多因素登录、异常行为监测，也包括对远程员工工作模式的一致性核查——比如面试者与入职者是否为同一人、登录地点与报备地点是否匹配、设备是否存在异常远控、代码访问权限是否过度开放。

这听上去有点烦，甚至有点像公司对员工“不信任”。但现实就是，今天的企业边界已经被云服务和远程工作打散了。过去你只要看谁刷门禁进办公室；现在，你得知道是谁、从哪台设备、以什么身份、通过什么网络，进入了你的 GitLab、Slack 和内部模型平台。

500 万美元只是账面损失，更大的代价还在后面

从金额看，500 万美元在国际网络犯罪里不算夸张，远不及一些加密货币盗窃案动辄数亿美元。但这起案子的真正代价，不是已经流走的工资，而是被证明可以复制的作案模板。

只要有远程岗位、只要有跨境支付、只要企业还依赖“邮寄电脑+线上面试+云端协作”的标准流程，这套模式就很难彻底消失。美国政府这次同时宣布，悬赏最高 500 万美元征集相关线索，目标包括 9 名涉嫌参与洗钱和协作的个人。这说明执法部门已经把它当成一条成熟产业链，而不是个别案件。

更值得科技行业警惕的是，这件事会不会带来新的副作用。比如，一些公司会不会因此对远程工作更加敌视？会不会对特定国家和地区的求职者采取更严厉、甚至带偏见的审查？会不会让本来就艰难的全球化技术协作进一步收缩？这些都是现实问题。

但我认为，正确答案不该是简单粗暴地“反远程”“反国际化”。远程办公本身不是原罪，问题在于企业过去把它当成成本优化工具，却没有同步投入足够的验证和治理能力。说得直白一点，享受了全球招聘红利，就得承担全球风险管理的成本。

科技行业经常自信于自己的系统设计能力，可这起案件像一记冷水：你能把分布式系统做得很漂亮，不代表你把分布式组织治理明白了。代码可以审，容器可以扫，供应链可以查，唯独“这个人到底是谁”这件事，很多公司到今天还答得稀里糊涂。

而这，可能正是下一个安全时代最不体面的漏洞。不是零日，不是后门，不是 AI 失控，而是一份看上去很正常的简历。那种熟悉感，反而最危险。