Уязвимость каждые 48 часов. Китайские хакеры слишком хороши. Теперь они стали госслужащими
NewsMakerКитай построил государственную машину для поиска уязвимостей.
За последние 20 лет китайская индустрия поиска уязвимостей прошла путь от хаотичной сцены энтузиастов до структурированной системы, тесно связанной с государственными интересами. В начале 2000-х это был разрозненный рынок с бесплатными базами данных и дешевыми эксплойтами, но к середине 2010-х экосистема оформилась в виде коммерческих платформ, исследовательских центров при крупных компаниях и сетей частных специалистов, которые стали активно участвовать в международных конкурсах и программах вознаграждения за найденные ошибки в западных продуктах. Сегодня эта сфера стала частью стратегической инфраструктуры Китая, где исследователи, государственные структуры и частные подрядчики действуют в единой «векторной трубе» сбора уязвимостей.
После того как китайские команды начали выигрывать международные соревнования, власти взяли направление под контроль. В 2018 году участникам из КНР запретили выступать на зарубежных хакерских турнирах без одобрения, обязав сообщать обо всех найденных уязвимостях «в органы общественной и информационной безопасности». Одновременно появились собственные внутренние конкурсы, а их результаты нередко направлялись в Министерство государственной безопасности и Министерство общественной безопасности. В 2021 году регламент «Об управлении уязвимостями в сетевых продуктах» обязал компании информировать Министерство промышленности и информатизации (MIIT) о найденных дефектах в течение 48 часов. Microsoft отмечала, что такие правила могут позволить государственным структурам накапливать нераскрытые уязвимости , чтобы использовать их в операциях.
На практике контроль остаётся частичным. Исследователи нередко задерживают уведомления или торгуют уязвимостями на неофициальных рынках. Даже после показательного дела 2021 года, когда инженер Alibaba сообщил о найденной критической ошибке Log4Shell , требования исполняются не всегда. Поэтому государство использует не только давление, но и систему вознаграждений. Китайская национальная база уязвимостей (CNNVD), подведомственная Министерству госбезопасности, платит исследователям за найденные дефекты и выдаёт сертификаты, которые повышают их профессиональный статус и открывают путь к государственным контрактам. Благодаря этому членство в сети технических подразделений CNNVD (TSU) растёт, а добровольная передача сведений о слабых местах становится выгодной.
Наряду с этим формируется слой неформальных связей между исследователями, в том числе связанных с подрядчиками, работающими на государство. Наиболее известный пример — компания Sichuan Silence, чьи сотрудники фигурировали в расследованиях США по атакам на продукты Sophos. Похожие схемы прослеживаются и в связке между командами Pangu и i-SOON: первая известна по взломам iOS и объединена с корпорацией Qi An Xin, вторая участвует в операциях, связанных с группами RedHotel и Aquatic Panda. Утечки документов i-SOON в 2024 году показали, что обе структуры поддерживали рабочие контакты и обменивались найденными уязвимостями, включая те, что могли применяться в следственных или разведывательных целях.
Государство постепенно расширяет эту «трубу»: к процессу подключают колледжи и техникумы, а крупные фирмы вводят многоуровневые системы подготовки кадров. Так, платформа Butian, принадлежащая Qi An Xin, разработала программу « Белая шляпа : путь мастера» — шестиступенчатую программу обучения с теорией, практикой и системой поощрений. Одновременно в уязвимостях всё чаще фокус смещается с иностранных на отечественные продукты. Ещё в 2018–2022 годах на конкурсах Tianfu Cup основное внимание уделялось западным приложениям, но в 2023-м призовой фонд для китайских целей вырос, а в 2024 году турнир Matrix Cup впервые установил отдельные категории для местных систем, распределив премии на сумму 2,75 млн долларов — больше, чем у канадского Pwn2Own.
Однако публичность таких соревнований снижается: Tianfu Cup не проводился в 2024 году, а на Matrix Cup подробности эксплойтов не раскрывались. В то же время китайские компании получили доступ к конфиденциальным данным о зарубежных уязвимостях через программу Microsoft MAPP, в рамках которой партнёрам заранее сообщают о будущих обновлениях. Из 104 участников программы 13 — из Китая, что вызывает сомнения в сохранности этих сведений. По данным Bloomberg, в августе 2025-го Microsoft сократила их участие, опасаясь утечек.
Современная китайская система поиска уязвимостей превратилась из сообщества энтузиастов в централизованную экосистему, где сочетаются бюрократические требования, финансовая мотивация и патриотические стимулы. Профессионалы теперь проходят обучение через корпоративные платформы, а государство контролирует как источники, так и потоки информации. При этом многие исследователи продолжают отправлять отчёты о дефектах западным компаниям, балансируя между личной выгодой, научным признанием и интересами национальной безопасности.
За последние 20 лет китайская индустрия поиска уязвимостей прошла путь от хаотичной сцены энтузиастов до структурированной системы, тесно связанной с государственными интересами. В начале 2000-х это был разрозненный рынок с бесплатными базами данных и дешевыми эксплойтами, но к середине 2010-х экосистема оформилась в виде коммерческих платформ, исследовательских центров при крупных компаниях и сетей частных специалистов, которые стали активно участвовать в международных конкурсах и программах вознаграждения за найденные ошибки в западных продуктах. Сегодня эта сфера стала частью стратегической инфраструктуры Китая, где исследователи, государственные структуры и частные подрядчики действуют в единой «векторной трубе» сбора уязвимостей.
После того как китайские команды начали выигрывать международные соревнования, власти взяли направление под контроль. В 2018 году участникам из КНР запретили выступать на зарубежных хакерских турнирах без одобрения, обязав сообщать обо всех найденных уязвимостях «в органы общественной и информационной безопасности». Одновременно появились собственные внутренние конкурсы, а их результаты нередко направлялись в Министерство государственной безопасности и Министерство общественной безопасности. В 2021 году регламент «Об управлении уязвимостями в сетевых продуктах» обязал компании информировать Министерство промышленности и информатизации (MIIT) о найденных дефектах в течение 48 часов. Microsoft отмечала, что такие правила могут позволить государственным структурам накапливать нераскрытые уязвимости , чтобы использовать их в операциях.
На практике контроль остаётся частичным. Исследователи нередко задерживают уведомления или торгуют уязвимостями на неофициальных рынках. Даже после показательного дела 2021 года, когда инженер Alibaba сообщил о найденной критической ошибке Log4Shell , требования исполняются не всегда. Поэтому государство использует не только давление, но и систему вознаграждений. Китайская национальная база уязвимостей (CNNVD), подведомственная Министерству госбезопасности, платит исследователям за найденные дефекты и выдаёт сертификаты, которые повышают их профессиональный статус и открывают путь к государственным контрактам. Благодаря этому членство в сети технических подразделений CNNVD (TSU) растёт, а добровольная передача сведений о слабых местах становится выгодной.
Наряду с этим формируется слой неформальных связей между исследователями, в том числе связанных с подрядчиками, работающими на государство. Наиболее известный пример — компания Sichuan Silence, чьи сотрудники фигурировали в расследованиях США по атакам на продукты Sophos. Похожие схемы прослеживаются и в связке между командами Pangu и i-SOON: первая известна по взломам iOS и объединена с корпорацией Qi An Xin, вторая участвует в операциях, связанных с группами RedHotel и Aquatic Panda. Утечки документов i-SOON в 2024 году показали, что обе структуры поддерживали рабочие контакты и обменивались найденными уязвимостями, включая те, что могли применяться в следственных или разведывательных целях.
Государство постепенно расширяет эту «трубу»: к процессу подключают колледжи и техникумы, а крупные фирмы вводят многоуровневые системы подготовки кадров. Так, платформа Butian, принадлежащая Qi An Xin, разработала программу « Белая шляпа : путь мастера» — шестиступенчатую программу обучения с теорией, практикой и системой поощрений. Одновременно в уязвимостях всё чаще фокус смещается с иностранных на отечественные продукты. Ещё в 2018–2022 годах на конкурсах Tianfu Cup основное внимание уделялось западным приложениям, но в 2023-м призовой фонд для китайских целей вырос, а в 2024 году турнир Matrix Cup впервые установил отдельные категории для местных систем, распределив премии на сумму 2,75 млн долларов — больше, чем у канадского Pwn2Own.
Однако публичность таких соревнований снижается: Tianfu Cup не проводился в 2024 году, а на Matrix Cup подробности эксплойтов не раскрывались. В то же время китайские компании получили доступ к конфиденциальным данным о зарубежных уязвимостях через программу Microsoft MAPP, в рамках которой партнёрам заранее сообщают о будущих обновлениях. Из 104 участников программы 13 — из Китая, что вызывает сомнения в сохранности этих сведений. По данным Bloomberg, в августе 2025-го Microsoft сократила их участие, опасаясь утечек.
Современная китайская система поиска уязвимостей превратилась из сообщества энтузиастов в централизованную экосистему, где сочетаются бюрократические требования, финансовая мотивация и патриотические стимулы. Профессионалы теперь проходят обучение через корпоративные платформы, а государство контролирует как источники, так и потоки информации. При этом многие исследователи продолжают отправлять отчёты о дефектах западным компаниям, балансируя между личной выгодой, научным признанием и интересами национальной безопасности.