眾所周知，以美國為首集合英國、澳大利亞、加拿大、新西蘭組建的情報共享聯盟，也就是我們常說的“五眼聯盟”。上周三，五眼聯盟的網絡安全機構發布了一份聯合公告，目的是共同應對惡意對手廣泛利用 Apache Log4j 軟件庫中的多個漏洞。

在這里，陰謀論一下。曾經美國的情報機構被維基解密公布了大量的網絡武器，在一段時間內我一直關注著維基解密這個網站，其中對美國CIA開發存儲的Vault 7系列網絡武器進行了報道。所以，在網絡武器研發與保有量上，我們有理由相信，五眼聯盟的成員國每一個都是大戶，在其共享的基礎上，我們更有理由相信，他們組成了最大的黑客合法“黑幫”。

有時，五眼聯盟個別成員還時不時的拉上以色列，玩不完的貓膩。其中大家耳熟能詳的“震網”蠕蟲病毒，就是美以杰作。

[[442083]]

回到Log4j漏洞，在最近工信部對阿里的處罰中，我們看到其實這次阿里某種意義上，為國外的情報機構遞了把刀，讓國外的情報機構整整在中國的網絡中肆無忌憚半個月。西方情報組織是否早就掌握這個漏洞未嘗可知，畢竟高端的網絡武器，西方情報機構是不輕易示人的，如永恒之藍、Vault 7、Vault 8,都是存在很長一段時間了。只是阿里把這事給西方情報機構捅出來了，所以網上說阿里兩頭不落好，從這個角度看，是極有可能的，美國不見得樂意接收阿里的一片“忠誠”。

退一步講，就算西方情報機構未掌握這個漏洞，但在阿里上報給阿帕奇基金會，而阿帕奇基金會則第一時間上報給美國情報機構，否則歐美各國政府不可能先于中國政府發出警告，而這個時間差既是廠家抓緊時間修復漏洞的最佳時機，也是情報機構研制黑客工具的最佳時機，因為在這個時間段它某種意義上還是“0Day”，其破壞性是毋庸置疑的。這也從側面說明，美國的組織在遵循其國家有關漏洞相關要求時，是非常積極配合的。

阿里此次“失誤”，要么是阿里不尊重國家相關法律法規，故意為之;要么是內部管理混亂，出現這種低級錯誤。所以，我們該懷疑其居心還是懷疑其內部管理混亂呢?套用一句時髦的話大家“聯想”吧!

本文轉載自微信公眾號「祺印說信安」，作者何威風。轉載本文請聯系祺印說信安公眾號。