天津超算中心10PB數據被盜：黑客用6個月搬空"國之重器"

10拍字節（Petabyte）是什么概念？按一部高清電影5GB計算，相當于200萬部電影。一位代號"FlamingChina"的黑客聲稱，自己從中國國家超級計算天津中心（NSCC-Tianjin）搬走了這么多數據——如果屬實，這將是中國歷史上規模最大的數據泄露事件。

消息最早出現在2026年2月初。一個匿名用戶在Telegram頻道上傳了樣本數據集，網絡安全研究人員迅速介入驗證。多名獨立研究者確認數據真實性后，黑客開始明碼標價：幾千美元看"限量預覽"，完整訪問權限則要價數十萬美元加密貨幣。

被盯上的天津中心來頭不小。這里曾運行過多臺全球最快超級計算機，包括2010年登頂TOP500榜單的"天河一號"。CNN報道稱，該中心服務超過6000家客戶，涵蓋中國商飛（C919客機制造商）、國防科技大學、中國航空工業集團等機構。泄露文件包括涉密國防文檔、導彈設計圖，以及航空工程、生物信息學、核聚變模擬等領域的研究數據。

VPN成突破口：最普通的攻擊路徑

網絡安全研究員Marc Hofer向CNN透露了技術細節。他通過Telegram直接聯系到 alleged 攻擊者，確認入侵始于一個被攻破的VPN域名。

VPN（虛擬專用網絡）本應是遠程訪問的安全通道，卻成了最薄弱的環節。攻擊者獲取權限后，部署了一套自動化程序——也就是所謂的"僵尸網絡"（Botnet）。這套程序被設定為靜默運行：自動提取、下載、存儲數據，同時規避中國網絡安全系統的監測。

這種"慢速滲漏"策略犧牲了速度換取隱蔽性。Hofer稱，黑客用了六個多月才完成10PB的數據轉移。作為對比，2017年Equifax泄露1.4億美國人信息用了約兩個月；2013年雅虎30億賬戶泄露是多年累積的結果。單就持續時間和數據量而言，這次攻擊的耐心程度相當罕見。

超算中心的數據架構或許為這種操作提供了便利。超級計算機通常采用并行存儲系統，數據分散在數千個節點上。攻擊者不需要一次性突破整個系統，只需在VPN入口建立據點，然后像用吸管喝泳池水一樣，逐節點緩慢抽取。

6000家客戶：一張難以追溯的責任網

天津中心的客戶名單讀起來像一份中國高端制造業目錄。中國商飛正在用這里的算力模擬C919客機的空氣動力學性能；國防科技大學是"天河"系列超算的娘家；航空工業集團則涉及更多不便公開的項目。

這種共享算力模式是超算中心的常態。一臺超級計算機的建設成本動輒數十億元，不可能為單一機構獨享。但6000家客戶的接入也意味著6000個潛在的攻擊面——每家機構的終端設備、員工賬號、外包團隊都可能成為跳板。

目前沒有任何機構承認自己是數據源頭。中國商飛、國防科技大學、航空工業集團均未回應CNN的置評請求。天津中心本身也保持沉默。這種集體緘默讓事件更顯詭異：如果10PB數據屬實，受害者理應察覺異常流量；如果數據量被夸大，黑客又為何能拿出經研究人員驗證的樣本？

數據黑市的定價邏輯也值得玩味。幾千美元的"預覽價"和數十萬美元的"完整版"之間，差距超過100倍。這種階梯定價暗示黑客對市場分層有清晰認知：國防承包商可能為特定文件買單，加密貨幣鯨魚或許想整盤吃下，而媒體和安全研究者只配看片段。定價本身成了一種篩選機制。

超算安全的結構性困境

這不是中國超算中心第一次遭遇安全質疑。2024年，美國商務部將多家中國超算實體列入出口管制清單，理由是"支持軍事現代化"。當時有分析認為，制裁會倒逼中國發展自主技術棧，反而增強安全性。但此次事件暴露的問題更基礎：再強的國產芯片和操作系統，也防不住VPN配置失誤或內部人員疏漏。

超算的安全模型本質上與云計算不同。公有云服務商（如AWS、阿里云）默認假設客戶數據需要隔離，架構設計從第一天就考慮多租戶防護。而傳統超算中心誕生于科研協作文化，數據共享的便利性往往優先于隔離的嚴謹性。當6000家機構共用同一套存儲網絡時，"內網即信任"的假設就成了定時炸彈。

攻擊者的選擇也頗具象征意義。沒有攻擊金融系統，沒有勒索醫院，而是盯上了算力基礎設施——這相當于數字時代的"劫糧倉"。超算中心不直接產生經濟收益，但支撐著從飛機設計到核模擬的關鍵研發。竊取這些數據，既能變現，也能削弱長期競爭力。

中國網絡安全法的處罰力度在全球屬于最嚴一檔。2021年修訂的《數據安全法》規定，核心數據泄露最高可罰1000萬元并追究刑事責任。但法律威懾對境外黑客效果有限，對已經發生的泄露更是于事無補。目前尚無跡象表明攻擊者身份或所在位置已被鎖定。

驗證困境：當證據本身成為商品

網絡安全研究社區對此次事件的態度頗為微妙。多位研究者確認了樣本數據的真實性，但"真實"不等于"完整"。10PB的總量目前只有黑客的一面之詞，沒有獨立審計。

這種信息不對稱是數據泄露市場的常態。2016年，黑客"Peace"聲稱出售LinkedIn 1.67億條記錄，買家只能先付小額定金驗證樣本；2022年，Lapsus$團伙用類似手法勒索英偉達、三星等企業。天津事件的特殊之處在于，攻擊對象涉及國家機密，而驗證者多是西方安全研究者——他們的結論在中國語境下天然帶有政治敏感性。

Marc Hofer的角色同樣微妙。作為向CNN透露細節的信源，他既是技術驗證者，也是事件傳播者。通過Telegram與黑客直接對話，在獲取一手信息的同時，也可能無意中成為對方營銷鏈條的一環。黑客需要可信度來抬價，而研究者的背書恰好提供了這種可信度。

中國官方至今未正式回應此事。國家互聯網應急中心（CNCERT）的公開通報中，2026年2月沒有任何涉及超算中心的安全事件。這種沉默可能意味著幾種情況：調查仍在進行不便公開；數據規模被夸大不值得高調回應；或者事件敏感性超出常規通報框架。

10PB數據現在何處？按照黑客的說法，它們被分散存儲在多個加密貨幣支付保護的節點上。買家獲得的不是實體硬盤，而是解密密鑰和訪問路徑。這種架構讓數據本身難以被物理查封，也讓"追回"幾乎不可能——除非買家主動泄露，或者密鑰管理系統出現漏洞。

對于依賴天津中心算力的6000家機構來說，更緊迫的問題是：自己的數據在不在那10PB之中？如果涉及導彈設計圖或核聚變模擬，泄露可能觸發國際擴散管控審查；如果只是普通的流體力學計算，商業損失相對可控。但除非購買黑客的"預覽包"，否則機構本身也無法確定。

超算中心的安全整改將是長期工程。VPN替換為零信任架構、存儲系統加裝行為審計、客戶接入實施最小權限原則——這些措施技術上都可行，但成本和時間投入巨大。更深層的問題是：當"國之重器"需要向數千家機構開放時，安全與便利的邊界究竟該劃在哪里？