編者按：對物聯網的討論有很多，但考慮到目前有那么種類型的電子產品被連上網時不僅令人感到心生恐懼。燈泡、DVR、攝像頭、麥克風等都接入了互聯網，但有誰真正思考過其隱含的意義嗎？時至今日，一切都是計算機——我們正在建設一個可感知、思考和行動的互聯網。我們在建造一個世界規模的機器人，但我們甚至還沒有意識到這一點。密碼學家、《應用密碼學》的作者Bruce Schneier從技術和政治的層面審視了物聯網給我們帶來的巨大挑戰，里面提出的東西值得所有人認真思考：在準備好之前，我們真的需要一個萬物互聯的世界嗎？

去年的10月21日，你的數字視頻錄像機，或者至少是一個跟你的類似的DVR，把Twitter從互聯網上踢下線了。有人用你的DVR，再加上數百萬不安全的網絡攝像頭、路由器等連接設備，來發動了一場攻擊，這場攻擊引起了連鎖反應，導致了Twitter、Reddit、NetFlix等眾多網站從互聯網下線。你可能并沒有意識到你的DVR還有這么一種能力。但它的確是有。

所有的計算機都是可以被黑掉的。這既與技術有關，也與計算機市場脫不開干系。我們都希望我們的軟件什么功能都有，而且價格還要很便宜，其代價就是安全和可靠性。也就是說，你的計算機會影響到Twitter的安全是一個市場失靈。這個行業到處都是市場失靈，但直到現在，基本上還為人所忽視。隨著計算機繼續滲透到我們的家庭、汽車，企業，這些市場失靈將不再可容忍。我們唯一的解決方案是管制，而這種管制會被一個在災難面前不顧一切想要“做點什么”的政府強加給我們。

在本文中我希望能概括一下這些問題，無論是從技術上還是政治上，并指出一些管制的解決方案。管制這個詞在當今的正值氣候下也許有點臟，但安全是對我們的小政府偏見的例外。隨著計算機的威脅越來越大且愈發的災難性，管制是不可避免的。所以現在是時候開始考慮這個問題了。

Wimbledon還需要扭轉把一切都連上互聯網的趨勢。如果我們會有危害甚至死亡的風險時，我們需要再三考慮我們連接的是什么，我們故意放著避免計算化的是什么。

如果這件事情弄錯的話，計算機業看起來就會像制藥業或者航空業一樣。但如果我們把這件事情做對的話，我們就能維持給了我們那么多東西的互聯網的創新環境。

現在不再是計算機嵌入東西里面了，而反過來，是將東西附加到計算機上面。

你現在的冰箱是一臺讓東西保持冷凍的計算機。類似地，你的烤箱是一臺能讓東西發熱的計算機。而ATM是一臺里面裝有錢的計算機。你的汽車不再是里面裝有一些計算機的機械設備，而是有4個輪子和一個引擎的計算機。實際上，這是一個擁有超過100臺計算機，另外帶有4個輪子和一套引擎的分布式系統。當然，你的手機在2007年，也就是iPhone誕生那年，已經變成了一臺火力全開的通用計算機。

我們還穿戴計算機：比如我們會佩戴健身跟蹤器和計算機使能的醫療設備，還有當然，我們都隨身攜帶著智能手機。我們的家庭有智能恒溫器、智能家電、智能門鎖，甚至連智能燈泡都有。工作時，許多這些智能設備，以及可偵測客戶行動的傳感器CCTV攝像頭等東西連接在一起的。城市開始給道路、路燈、人行道、廣場嵌入智能傳感器，還有智能電網和智能交通網絡。核電站其實就是一臺可發電的計算機，并且就像我們前面所列的其他東西一樣，它也是連上互聯網的。

互聯網不再是我們連接的web。相反，它已經變成一個我們生活在里面的計算化、聯網化且互聯的世界。這就是未來，也就是我們所謂的物聯網。

寬泛而言，物聯網有三個部分。有收集我們以及我們環境相關數據的傳感器：智能恒溫器、街道和高速公路傳感器，還有那些帶有運動傳感器和GPS接收機的、無所不在的智能手機。然后還有“智能”的部分，這部分的工作是找出數據意味著什么，以及對此該做些什么。這包括了這些設備上的所有的計算機處理器，以及云端的計算機（越來越往云端遷移），以及存儲所有這些信息的存儲。最后，還有影響我們環境的致動器。智能恒溫器的要點不是記錄溫度，而是控制爐子和空調。無人車收集道路和環境數據是為了讓它們能安全地駛向目的地。

你可以把傳感器看作是互聯網的眼睛和耳朵。你可以把致動器看作是互聯網的手和腳。你還可以把中間那部分東西看作是它的大腦。我們正在建設一個能感覺、會思考、可行動的互聯網。

這不就是機器人的典型定義嘛。的確，我們正在建造一個世界規模的機器人，而我們甚至還沒有意識到這一點。

當然，這不是典型意義的機器人。我們把機器人視為具體的自治實體，在一個金屬外殼里面包裹著傳感器、大腦和致動器。但世界規模的機器人是分布式的。它沒有單一的身軀，而且它的不同部分是由不同的人用不同的方式控制的。它沒有一個集中化的大腦，甚至稍微類似意識的東西也沒有。它沒有單個的目標或者焦點。它甚至都不是我們刻意設計的什么東西。它是我們無意間從日常生活并認為理所當然的東西里面打造出來的一個東西。它是我們的計算機和網絡到現實世界的延伸。

世界規模的機器人實際上不僅僅是物聯網。它還是有著幾十年歷史的計算機趨勢的結合：包括移動計算、云計算、永遠在線計算、個人信息大型數據庫、物聯網等，或者更確切地說，是信息物理系統（cyber-physical systems）——它是自治的，人工智能的。盡管它還不是很智能，但會變得越來越智能。聽歌我們編織的所有這些互聯，它會變得越來越強大、越來越有能力。

它也會變得越來越危險，造成極大威脅。

自從計算機誕生以來就有了計算機安全問題。雖說安全不是原來互聯網設計考慮的問題之一，但卻是我們從一開始就想要實現的東西。

我搞計算機安全已經超過了30年：先是做密碼學，然后是更通用一點的計算和網絡安全，現在則是做一般安全技術。我們已經觀察到計算機變得無所不在，并且見證了保證這些復雜機器和系統安全的第一手的問題和解決方案。我可以告訴你這一切是因為過去屬于一個技術專門領域的東西現在已經影響到了一切。計算機安全現在是一切安全。但有一個關鍵的不同：其威脅更大了。

傳統上們計算機安全被分為三個類別：機密性、完整性以及可用性。大多數情況下，我們對安全的主要關心都是以機密性為中心的。我們擔心我們的數據以及誰訪問這些數據——這是一個隱私與監視的世界，與數據盜竊和濫用有關。

但威脅會以很多形式出現。可用性威脅：刪除我們數據的計算機病毒，或者加密我們數據并要求付費解鎖的勒索軟件。完整性威脅：黑客操縱數據實體可以進行從改變某類的等級到改變銀行賬戶里面的金額之類的事情。其中的一些威脅時相當糟糕的。因為勒索軟件對關鍵病歷進行了加密，醫院被迫支付給犯罪分子上萬美元的錢。摩根大通每年要投入5億美元用于對付網絡安全問題。

今天，完整性和可用性威脅要比機密性威脅糟糕得多。一旦計算機開始以直接和物理的方式影響到世界，就會對生命和財產造成真正的風險。搞垮你的計算機盜走你的電子表格數據與黑掉你的起搏器和奪走你的生命有著根本性的不同。這并不夸張，最近研究人員在發現St. Jude Medical公司的可植入心臟設備中發現了嚴重的安全漏洞。只要賦予互聯網以手和腳，它就有能力出拳和踢腿。

舉個具體的例子：現代的汽車，那些有輪子的計算機。方向盤不再轉動車軸了，油門踏板也不再改變速度。你在車內的每一個動作都由計算機來處理，實際控制汽車的是它。中央計算機控制著儀表盤。還有一個在控制著無線電。引擎大概有20臺左右的計算機在控制。所有這些都是聯網的，而且越來越自動化。

現在，讓我們開始列舉那些安全威脅。我們不希望汽車導航系統被用于大規模監視，而不希望麥克風被用于大規模監聽。我們也許希望在撥打911電話時它被用來確定汽車的方位，可能再用來收集一下高速公路的擁堵情況。我們不希望有人黑自己的汽車或者繞開排放控制限制。我們不希望制造商或者經銷商也能這么做，就像大眾做了很多年那樣。我們可以想象希望賦予經常遠程地、安全地讓一輛移動中的汽車喪失能力的能力；這能夠讓高速追逐成為過去。但我們當然不希望黑客能夠做這件事。我們絕對不希望他們能在毫無預警、以任何速度行駛的情況下讓剎車失靈。隨著我們從駕駛員控制過渡到各自駕駛輔助能力乃至于無人車，我們不希望上述任何關鍵部件被破壞。我們不希望有人會意外地撞上你的車，故意就更不用不說了。同樣地，我們不希望他們能操縱導航軟件來改變你的路線，或者操縱車鎖控制來阻止你打開車門。這個列表可以列得很長。

有很多不同的安全需求，而把它們搞錯的影響從非法監視到勒索軟件敲詐乃至于大規模死亡不等。

我們的計算機和智能手機之所以表現出應有的安全水平是因為微軟、蘋果以及Google等公司在發布之前花費了大量時間來測試自己的代碼，并且的漏洞被發現時迅速打上補丁。那些公司可以支持大型的專門團隊是因為他們要么直接要么間接通過自己的軟件賺了很多的錢，并且部分由于他們攀比自己的安全。不幸的是，在DVR或者家庭路由器這樣的嵌入式系統情況就不是這樣了。那些系統賣出的利潤本來就很低，而且往往是外包給第三方生產的。參與的公司根本就沒有確保其安全的專業知識。

在最近的一次安全會議上，一位安全研究人員分析了30款家庭路由器，結果有一半都可以滲透進去，其中的一些還是最流行和常見的品牌。去年10月迫使Reddit和Twitter等熱門網站下線的拒絕服務攻擊就是由網絡攝像頭和DVR等設備的漏洞引起的。去年8月，兩位安全研究人員演示了用一款勒索軟件攻擊智能恒溫器的例子。

更糟糕的是，這些設備大多數都沒有任何打補丁的方式。像微軟和蘋果這樣的公司不斷推出安全補丁給你的計算機。一些家庭路由器在技術上是可以打補丁的，但實現的方式卻很復雜，只有專家才會做這樣的嘗試。而你更新自己會被黑掉的DVR固件的唯一方式就是把它扔掉然后買個新的。

市場無法修補這個是因為買家和賣家都不關心這一點。被用于執行拒絕服務攻擊的網絡攝像頭和DVR的主人不關心。他們的設備買下來的時候很便宜，它們還能工作，而且他們并不認識攻擊受害者中的任何一個。那些設備的賣家也不關心：他們現在賣的是更新更好的型號，而原來的買家只關心價格和功能。這里沒有市場解決方案，因為這種不安全是經濟學家所謂的外部性：這是一種影響到別人的購買決定效應。可以把這看作是看不見的污染。

安全是攻擊者和防御者之間進行的一場軍備競賽。技術通過改變攻擊者和防御者之間的平衡來擾亂這場軍備競賽。理解這場軍備競賽是如何在互聯網上展開的，對于理解為什么我們正在建造的世界規模的機器人是如此的不安全，以及我們可以如何去保證它的安全必不可少。為此，我提出5個觀點，這些都屬于老生常談，是我們已經了解到的有關計算機和互聯網安全方面的東西。它們很快就會影響到誒一個地方的安全軍備競賽。

常識1：在互聯網上，攻擊比防御更容易

這一點有很多理由，但最重要的是這些系統的復雜性。更多的復雜性意味著涉及到更多的人，更多的部件，更多的交互，設計和開發過程更多的錯誤，更多的不安全因素的藏身之處。計算機安全專家喜歡談系統的攻擊界面（attack surface）：攻擊者可能瞄準的所有可能點，這些點必須確保安全。防御者必須保證整個攻擊界面的安全。而攻擊者只用找到一個漏洞——找到一條不安全的攻擊大道，然后選擇如何和何時攻擊即可。這根本就不是一場公平的戰爭。

攻擊比防御更容易還有其他一些更一般的原因。攻擊者有著防御者往往缺乏的天然敏捷性。他們不關心法律，往往對道德或倫理也不在乎。他們不需要對付官僚主義，可以更迅速地利用技術創新。攻擊者還有先發優勢。作為社會，我們往往厭惡主動安全；我們很少會采取主動安全措施直到攻擊真的來了。所以攻擊者的優勢更多。

常識2：大多數軟件寫得都很糟糕而且不安全

如果復雜性還不夠的話，我們通過制作差勁的軟件加重了問題。寫得好的軟件，就像在飛機航電設備上面的那些，都是既昂貴編寫又耗時的。我們不想要那種軟件。在很大程度上來說，寫得糟糕的軟件一直都是足夠好的了。我們寧愿忍受有漏洞的軟件也不愿支付好軟件所需要的價格。我們不在乎自己的游戲會不會經常崩潰，或者我們的商業應用時不時會行為怪異。因為軟件一直以來基本上都是溫和的，基本上都沒什么問題。這已經滲透到行業的各個層面。在大學，我們不教學生如何寫好代碼。公司不像獎勵快和便宜那樣獎賞優質的代碼。我們作為消費者也不要求這個。

但寫得糟糕的代碼漏洞百出，有時候多到每千行代碼就有一個漏洞。其中一些是軟件的復雜性固有的問題，但大多數都是程序錯誤。不是所有的bug都是漏洞，但有些就是。

常識3：讓一切通過互聯網相互連接會暴露漏洞

我們聯網的東西越多，某個東西的漏洞對其他東西的影響就越多。去年10月21日，多種嵌入式設備的漏洞被通通利用了起來，建立一個黑客所謂的僵尸網絡。這個僵尸網絡被用來發動一次針對Dyn這家公司的分布式的拒絕服務攻擊。Dyn為許多重要的互聯網網站提供了一項關鍵的互聯網功能。所以當Dyn下線時，所有那些流行網站也一并下線了。

這些漏洞鏈到處都是。2012年，記者Mat Honan也因為其中一個而遭遇了大規模的個人攻擊。他的Amazon賬號的一個漏洞導致黑客可以進入他的蘋果賬號，后者又讓黑客進入了他的Gmail賬號。2013年，因為有人從自己的暖通空調承包商那里偷走了證書，塔吉特也被黑掉了。

像這樣的漏洞尤其難以修復，因為實際上可能沒有一個系統有責任。問題可能出在兩個分別安全的系統不安全的交互上。

常識4：每個人都必須阻止全世界最好的攻擊者

互聯網最強大的屬性之一是它讓東西可伸縮。對于我們訪問數據或者控制系統或者做任何我們用互聯網來做的那些酷事的能力來說這是對的，但對于攻擊來說也一樣如此。一般而言，由于技術越來越好，更少的攻擊者就能導致更大破壞。這不僅僅是因為現代的攻擊者效率更高，還因為互聯網讓攻擊擴大到沒有計算機和網絡無法做到的規模。

這與我們過去習慣的東西有著根本的不同。在提防夜賊入室時，我只會擔心住得離我家足夠近的竊賊有沒有打劫的想法就行了。互聯網卻不一樣。當我考慮自己的網絡安全時，我必須把最好的攻擊者考慮在內，因為這個人會開發人人都會使用的攻擊工具。發現用于攻擊Dyn的漏洞的攻擊者把代碼發布給了全世界，一周之內利用它的十多種攻擊工具就冒出來了。

常識5：法律禁止安全研究

數字千年著作權法案（DMCA）是一項糟糕的法律，并未能達到其阻止大面積音樂影視盜版的目的。更糟糕的是，它的一個條款存在嚴重的副作用。根據該法律，繞開保護有版權作品的安全機制都是犯罪，哪怕本該是合法的繞開也算。由于所有軟件都可以有版權，所以在這些設備上進行安全研究并發表成果也是非法的了。

盡管這項法律的確切邊界有待商榷，但許多公司都利用DMCA這一條款來威脅研究人員公布其嵌入式系統中的漏洞。這使得研究人員逐漸感到害怕，對研究產生了寒蟬效應，這意味著兩件事情：（1）這些設備的供應商更有可能放任設備的不安全不管，因為沒人會注意，他們也不會在市場上受到處罰，（2）按去昂城市學不到如何更好地確保安全。

不幸的是，公司一般都喜歡DMCA。針對逆向工程的條款讓他們避免了粗劣的安全曝光所帶來的尷尬。這還使得他們可以開發專有系統來鎖定競爭。（這一點很重要。現在，你的烤面包機還不能強迫你智能購買特定品牌的面包。但因為這項法律以及嵌入式計算機，你的Keurig咖啡機可以強制你購買特定品牌的咖啡。）

通常而言，安全有兩種基本范式。我們要么第一時間就努力確保某樣東西的安全，要么我們可以讓我們的安全敏捷化。第一種范式來自危險東西的世界：飛機、醫療設備、建筑。這種范式為我們提供安全設計和安全工程，安全測試和認證，執業證明，詳細的預先計劃以及復雜的政府許可，以及漫長的進入市場時間。這種安全是給危險世界準備的，確保事情搞對至高無上，因為如果出錯的話是要出人命的。

第二種范式來自于快節奏且迄今屬于良性的軟件世界。在這個范式中，我們有快速原型開發，實時更新，持續改進。在這一范式中，時刻都會有新的漏洞被發現，安全災難經常會發生。這里我們強調的是存活的能力，可恢復性，緩解，適配性以及應付過去。這是為只要你的響應足夠快搞錯也OK的世界準備的安全。

這兩個世界正在發生碰撞。它們在我們的汽車身上發生碰撞，在我們的醫療設備、我們的建筑控制系統、我們的交通控制系統以及我們的投票系統發生碰撞，這一點都沒有夸張。而盡管這些范式之間極為不同互不相容，我們也需要找出如何讓它們協作的辦法。

到目前為止，我們做得還不是很好。我們仍然基本上要靠為汽車、飛機以及醫療設備內危險的計算機準備的第一種范式。因此，就出現了不能有安全補丁的醫療設備，因為這會導致其手上的政府許可無效。2015年，克萊斯勒找回了140萬輛汽車以修復一個軟件漏洞。2016年9月，Tesla在一夜間遠程發送了一個安全補丁給其所有的Model S汽車。Tesla當然覺得自己做得沒錯，但這一遠程打補丁的功能又會打開了什么樣的漏洞呢？

直到現在我們基本上還是把安全交給市場。因為我們購買和使用的計算機和網絡產品實在是太差勁了，導致了一個龐大的計算機安全后市市場的出現。政府、公司和用戶購買自己認為需要的安全來保護自己。我們目前還算應付得過去，但嘗試確保這一世界規模機器人的安全所固有的市場失靈很快就會變得大到無法忽視。

光靠市場也解決不了我們的安全問題。市場是由利潤和短期目標推動的，社會將為此付出代價。它們不能解決集體行動問題。它們不能處理經濟的外在性問題，比如DVR的漏洞導致了Twitter的下線。而且我們也需要對企業勢力進行平衡。

這一切都指向了政策。盡管任何計算機安全系統的細節都是技術性的，但讓技術得到廣泛部署卻牽涉到法律、經濟、心理學以及社會學。而且政策制訂得當跟技術做得到位一樣重要，要想互聯網安全行之有效，法律好技術必須攜手合作。這可能是我們從斯諾登曝光NSA獲得的最重要的教訓了。我們已經知道技術會顛覆法律。斯諾登則證明了法律也會顛覆技術。這兩方面都有效才能成功，任何一方不行都會失敗。所以僅僅靠技術是不行的。

盡管很多人會提出反對，但要想確保這一世界規模機器人的安全，政府監管是唯一可能的解決方案。但在互聯網上實施會特別困難，因為其無需許可（permissionless）的屬性正是它最好的東西之一，是其最具顛覆性創新的基礎。但是如果互聯網以直接和物理的方式影響到世界時，我看不到這還何以為繼。

我們還應該開始斷開系統。如果復雜系統的安全還不足以達到現實世界所需的水平，那我們就不應該建設一個一切都是計算化和互聯的世界。

我們還有別的模式。我們可以推動僅進行本地通信。我們可以對數據采集和存儲做出限制。我們可以精心設計系統讓它們不能互操作。我們可以審慎地束縛設備，扭轉當前把一切變成通用計算機的趨勢。還有，最重要的是，我們可以朝著更少中心化更多分布式系統邁進，這正是互聯網當初的愿景。

在大家競相連接一切的今天，這聽起來像是異端邪說，但大型中心化的系統不是不可避免的。技術精英正在把我們往那個方向推，但除了自己那不斷壯大的跨國企業的利潤外，他們拿不出任何有力的證據來證明自己。

我的猜想是我們很快就會達到計算化和連接性的高水位線，此后我們就會對連接什么以及如何連接做出有意識的決定。但目前我們還處在連接性的蜜月期。

世界規模的機器人更像是造出來而不是設計出來的。它的出現未經任何事先考慮或者架構設計或規劃。我們當中的大多數完全都沒有意識到我們正在建造什么。實際上，我不相信我們能造出這么一個東西來。當我們試圖設計像這樣復雜的社會技術系統時，我們經常會對它涌現出來的屬性感到驚訝。我們能做的頂多是盡可能觀察和引導這些屬性。

市場思維有時候讓我們忽略了人的選擇，自主化已經危在旦夕。在我們被這個世界規模的機器人控制或者干掉之前，我們需要對我們共同的管理體系重建信心。法律和政策看起來也許沒有數字化技術那么酷，但它們也是關鍵創新之處。它們是我們為了希望生活在的世界共同帶來的東西。

盡管我看起來可能像是一位兇事預言家，但我對未來仍然樂觀。我們的社會曾經解決過比這還要大的問題。這需要付出而且并不容易，但我們最終會做出必要的艱難抉擇來解決我們真正的問題。

唯有在我們開始對所生活的互聯世界做出真正選擇時，我們正在建造的世界規模的機器人才能得到負責任的管理。是的，我們需要安全系統如威脅板塊般健壯。但我們還需要法律對這些危險技術進行有效監管。還有我們需要對這些系統的運作機制做出道德、倫理以及政治決策。直到現在，我們還是把互聯網晾在一邊的。我們賦予程序員特別的權力，讓他們按照自己的想法來構造網絡空間。在網絡空間是獨立且相對不那么重要時這沒關系。但現在情況變了，我們不能再給程序員和公司這些權力了。無論如何，那些道德、倫理和政治決定都應該由我們共同做出。我們需要以連接機器同樣的熱枕連接我們大家。“連接一切東西”必須用“連接我們大家”來進行反擊。