馬斯克領導的政府效率部（DOGE）正在美國政壇掀起一場“整改風暴”，但其官方網站doge.gov（以及近期上線的DEI.gov和Waste.gov網站）卻接連爆出低級安全漏洞，doge.gov網站在上線僅兩天后即被黑客“偷家”，甚至篡改了政府網站信息。新上線的兩個政府網站DEI.gov和Waste.gov也發生數據泄漏。這一系列事件迅速淪為全球網絡安全社區的笑柄。

doge.gov裸數據庫裸奔，任何人都可發布信息

doge.gov的上線初衷是為了提高政府改革的透明度，實時發布DOGE的裁員和重組措施。然而，網站匆忙上線后，有黑客發現其數據庫完全開放，任何人都能添加或修改數據。404 Media記者調查發現，該網站基于Cloudflare Pages搭建，代碼可能通過GitHub等渠道部署，并未托管于政府服務器。

更為嚴重的是，網站數據庫的API端點暴露在外部，任何人都可以對其進行讀寫操作。有開發者在深入研究該網站架構后，成功向其數據庫添加了“this is a joke of a .gov site”（這個政府網站就是個笑話）和“THESE 'EXPERTS' LEFT THEIR DATABASE OPEN -roro”（這些所謂的專家居然讓數據庫裸奔）等內容，這些信息直接顯示在了網站的實時頁面上：

如此低級明顯的安全漏洞，反映出doge.gov在開發和部署過程中缺乏基本的安全審查和測試。這不僅使網站本身面臨被篡改的風險，更可能導致敏感政府數據的泄露。在一個強調透明度的政府部門，其官方網站卻如此輕率地處理安全問題，令人質疑其對網絡安全的重視程度。

泄漏多個政府部門敏感任務清單

德國研究人員Henrik Sch?nemann設置了一個變化檢測應用程序，用于監測數百個政府網站，結果發現近日上線的DEI.gov和Waste.gov的管理員在設置Wordpress模版時意外暴露了包括USAID、NASA、退伍軍人事務部、勞工部等機構和部門的項目/預算清單，雖然暴露時間只有30分鐘，但還是被安全人員截獲，并在安全社區分享了截圖：

清單中涉及一些敏感任務，例如：

• 向馬來西亞毒品驅動的同性交友應用資助340萬美元
• 向與基地組織有關的努斯拉陣線提供1000萬份餐食
• 向斯里蘭卡記者提供790萬美元用于“避免使用二元性別語言”項目
• NASA撥款1000萬美元用于推動DEI和“環境正義”
• 資助印度的“酷兒”穆斯林作家

曝光清單信息尚未證實真偽，有安全專家指出不排除部分內容是馬斯克DOGE團隊使用人工智能時產生的“機器幻覺”。

DOGE雇員的權限管理漏洞：潛在的內部威脅

除了官方網站的安全漏洞，DOGE內部的人事安排也引發了外界的擔憂。DOGE采取了一種激進的人事策略，雇傭了一批年輕、未經充分背景審查的程序員，他們甚至能夠訪問財政部等政府機構的核心系統和敏感數據。這種做法的風險在于：

• 缺乏安全培訓：部分DOGE雇員可能不了解政府網絡的安全規范，容易因操作失誤導致信息泄露。
• 權限管理不善：未經授權的人員可能訪問或修改敏感數據，甚至有意無意地泄露國家機密。
• 潛在的社會工程攻擊：年輕雇員的網絡安全意識相對較低，更容易成為黑客的攻擊目標。

在網絡安全領域，內部人員的威脅往往比外部攻擊更難防范。未經充分審查和培訓的人員，可能由于無意的操作失誤或缺乏安全意識，導致敏感信息的泄露。更有甚者，如果這些人員心懷不軌，利用其職務之便獲取或篡改重要數據，后果將不堪設想。因此，DOGE在推進政治改革的同時，必須加強對內部人員的管理，確保所有接觸敏感信息的員工都經過嚴格的審查和培訓。

政府機構改革中的網絡安全挑戰

doge.gov事件只是DOGE在推進政府機構改革過程中暴露出的眾多網絡安全問題之一。在特朗普“去監管化”的網絡安全策略支持下，DOGE大刀闊斧地進行政府機構改革、裁撤冗余部門和預算的同時，需要面對以下網絡安全挑戰：

• 數據遷移與整合的安全性：在機構調整過程中，涉及大量數據的遷移和整合。如果缺乏完善的安全策略和措施，可能導致數據在傳輸過程中被截獲或篡改。
• 第三方服務的安全風險：如同doge.gov使用Cloudflare Pages托管一樣，政府部門在引入第三方服務時，必須確保這些服務符合政府的安全標準。否則，可能引入新的安全漏洞。
• 快速部署與安全審查的平衡：在追求效率的同時，必須確保所有系統和應用在上線前經過嚴格的安全測試和審查。倉促上線可能帶來無法預料的安全隱患。
• 內部人員的權限管理：確保所有接觸敏感信息的人員都經過背景審查和安全培訓，并對其訪問權限進行嚴格控制，防止內部數據泄露。

doge.gov事件不僅是一個個例，而是整個聯邦政府IT安全架構面臨危機的縮影。傳統政府機構在安全管理上具有嚴格的準入機制和標準化的安全策略，但DOGE以“敏捷開發”和“效率至上”的名義，繞開了許多標準流程，從而導致漏洞頻發。DOGE的改革無疑給美國政府帶來了前所未有的變革，但改革的成功不能以犧牲網絡安全為代價。如何在效率與安全之間找到平衡，將成為未來美國政府改革的重要挑戰。