被美国指控为中国政府从事网络攻击的许泽伟,已经从意大利被引渡至美国。
据其意大利律师 Simona Candido 向 TechCrunch 证实,许泽伟已于周六抵达美国,目前羁押在得州休斯敦。美国联邦监狱局网站也显示,一名同名人员被关押在休斯敦联邦拘留中心。
这件事有一个反常点:美国过去公开起诉过不少被指有中国背景的网络行动人员,但很多案件长期停在“人在境外、案在纸上”的状态。许泽伟进入美国司法系统后,案件就不只是点名和表态了。
它要进入证据、程序和抗辩。
引渡完成后,案件从起诉书走向法庭
许泽伟去年在意大利按美国请求被捕。现在完成引渡,说明美国在这类跨境网络案件上,至少打通了一次关键程序链条。
美方称,许泽伟被控为中国国家安全部承包商。检方还指称,其所在相关公司上海 Powerock Network 为北京从事网络攻击活动;许泽伟及其他黑客向上海的中国国家安全官员报告相关活动。
这些都仍是美方指控,不是法院已经确认的事实。
他在美国的律师 Dan Cogdell 原定周一出席休斯敦一场听证。检方所在的 U.S. Attorney’s Office for the Southern District of Texas 尚未就案件细节作出进一步回应。
几个关键信息可以放在一起看:
| 问题 | 目前已知 | 需要保留的限制 |
|---|---|---|
| 司法状态 | 许泽伟已被引渡至美国,羁押在休斯敦 | 案件尚未审判,指控未被定罪确认 |
| 被控身份 | 美方称其为中国国家安全部承包商 | 中方据报道反对引渡,并称美方捏造案件 |
| 关联对象 | 美方指控其与张宇共同参与相关行动 | 共同被控不等于责任已被法院认定 |
| 关联行动 | 被指参与 Hafnium / Silk Typhoon 相关行动 | 这些标签背后的组织关系仍属于美方和安全行业归因框架 |
| 历史参照 | 2022 年 Yanjun Xu 曾在美国被判刑,美方称其为首名被引渡至美国的中国政府情报官员 | 许泽伟案不能与 Yanjun Xu 案混同,身份、案情和程序不同 |
我更在意的是这个变化:美国正在把“国家级网络攻击归因”往司法证据链里推。
过去,安全团队看到的更多是 IOC、漏洞通报、制裁名单、联合公告。到了法庭,问题会变成另一套语言:谁操作了什么基础设施,什么时间利用了哪个漏洞,通信记录、受害系统取证和日志能不能互相咬合。
这对网络安全从业者很具体。企业安全团队不能只把日志当内部复盘材料看。遇到高价值系统被打,日志留存、取证完整性、补丁时间线,可能会进入跨国案件。
预算上也会有变化。安全负责人可能会把一部分“新平台采购”往后放,先补资产清单、暴露面扫描、邮件服务器加固和日志留存。这些不新,但在法庭语境里更值钱。
美方指控集中在高校研究和 Exchange 漏洞
按检方说法,许泽伟与同案被指控的张宇在 2020 年初针对多所美国高校,试图窃取与新冠疫情相关的研究资料。
这个目标并不难理解。疫情初期,疫苗、病毒传播、公共卫生模型、治疗路径都具有情报价值。高校和科研机构手里有数据,也有合作网络,但安全防护未必和数据价值匹配。
美方还指称,两人参与了 2021 年 3 月开始的大规模 Microsoft Exchange 服务器攻击。相关行动被美方和安全行业归入 Hafnium,后续也与 Silk Typhoon 名称相关联。
检方称,这些行动影响美国超过 60000 个实体,成功入侵超过 12700 个。
这组数字解释了美国为什么看重此案。Microsoft Exchange 不是边缘系统,它是大量企业、律所、智库、科研机构和政府承包商的邮件基础设施。邮件服务器一旦失守,攻击者接触到的可能是一整套组织通信网络。
但边界也要说清。Hafnium、Silk Typhoon 是政府报告和安全行业使用的归因标签。法院尚未就这些标签背后的组织关系作出最终确认。把“被指参与”直接写成“已经证明”,会把新闻写歪。
对企业安全团队来说,这类案件给出的不是新道理,而是旧账单。
边界设备、邮件服务器、补丁管理、资产清单,仍然是最容易被嫌弃、也最容易出大事的地方。安全团队如果还在用“系统太老、业务不能停、补丁窗口难排”解释长期暴露,类似 Exchange 事件就是反例。
真正的现实约束也在这里。很多机构不是不知道要修补,而是缺人、缺清单、缺维护窗口。判断一家组织的安全水位,不只看它买了什么产品,也看它能不能在漏洞窗口里把基础动作做完。
外交争议不会替代法庭证据
这起案件不会只在法庭里被讨论。
《金融时报》报道称,中国外交部反对许泽伟被引渡,并指责美国政府“捏造案件”。中国过去也多次反驳美方关于“中国背景网络攻击”的说法。
所以,许泽伟案会同时落在三张桌子上:法院、外交部、网络安全行业。
法院看证据能不能采信。外交场域争的是叙事和合法性。安全行业关心的是漏洞利用、攻击基础设施、受害范围和可复现线索。
这三套逻辑经常并行,但不一定互相说服。
| 观察对象 | 真正要看什么 | 为什么重要 |
|---|---|---|
| 司法程序 | 许泽伟是否抗辩,检方公开多少证据 | 决定案件停留在指控,还是进入可检验事实 |
| 技术证据 | 是否出现日志、通信记录、基础设施关联、漏洞利用时间线 | 决定安全行业能否从中获得可验证样本 |
| 外交反应 | 中方如何回应后续庭审和证据披露 | 决定案件是否继续外溢到中美网络安全争端 |
| 承包商线索 | 是否牵出更多外包式网络行动组织链条 | 决定此案是否影响外界理解“国家级攻击外包”模式 |
我不太买账的是,把这类案件简单看成“黑客落网”。
如果证据只停留在归因表述,它的影响会更多留在外交层面。若法庭披露出可验证链路,比如通信记录、基础设施关联、受害系统取证,它才会改变行业对国家级攻击外包模式的理解。
这也是许泽伟案的关键节点意义:不是美国又发了一份起诉书,而是被控人员已经在美国羁押。案子进入法庭后,很多话不能只靠口径撑住。
开头那个问题也回来了:为什么这起案子比普通黑客新闻更重?
因为跨境网络指控一旦走到引渡和庭审,攻防双方都要从口水进入证据。虚实之间,法庭会逼出更多边界。