1. 引言
2025 年 9 月 11 日星期四,中国防火长城(GFW)经历了其历史上最大规模的内部文件泄露事件。超过 500 GB 的源代码、工作日志和内部通信记录被泄露,揭示了 GFW 的研发和运作细节。
此次泄露源自 GFW 背后的一支重要技术力量:积至(海南)信息技术有限公司(Geedge Networks Ltd.) 及中国科学院信息工程研究所(简称:中科院信工所)第二研究室的处理架构组 MESA 实验室。文件显示,该公司不仅为新疆、江苏、福建等地政府提供服务,还在“一带一路”框架下向缅甸、巴基斯坦、阿塞俄比亚、哈萨克斯坦、以及一个为被识别的国家输出审查与监控技术。
该泄漏事件意义重大且深远,由于资料体量庞大,GFW Report 将在当前页面,以及 Net4People 上持续更新我们的分析与发现。
2. 下载链接
Enlace Hacktivista 提供了获取泄露数据的途径:
- BitTorrent: https://enlacehacktivista.org/geedge.torrent
- HTTPS 直接下载: https://files.enlacehacktivista.org/geedge/
泄漏文件总计约 600 GB。其中mirror/repo.tar单个文件,作为RPM打包服务器的存档就占了500 GB。具体的文件的使用方法,David Fifield 已经在Net4People 上提供了更详尽的说明。
3. 摘要
2025年9月11日,一场震惊全球的中国防火长城(GFW)文件泄露事件,揭示了其背后复杂的运作机制和全球扩张野心。泄露文件总计超过500GB,包含源代码、工作日志、内部通信记录以及客户文档,其来源直指与GFW核心技术研发密切相关的积至(海南)信息技术有限公司(Geedge Networks Ltd.)和中国科学院信息工程研究所(中科院信工所)的MESA实验室。
这次泄露事件的背景与GFW之父方滨兴有着深厚的联系。方滨兴于2008年创立了信息内容安全国家工程实验室(NELIST),而MESA团队正是从该实验室的核心成员中发展而来。随后,MESA团队的许多成员在方滨兴于2018年成立的积至公司中担任了核心职务,其中MESA联合创始人郑超更是成为积至的首席技术官(CTO),这证实了积至公司与GFW背后的科研力量之间千丝万缕的联系。
泄露的文件内容极为详尽,其中仅一个名为mirror/repo.tar的压缩包就包含了500GB的RPM打包服务器存档。此外,还有包含公司内部文档、Jira工作记录以及MESA实验室Git仓库的多个文件,这些都为外界提供了前所未有的窗口,可以一窥GFW的内部工作细节。值得注意的是,文章也警告了这些文件的敏感性,建议分析者采取严格的安全措施,例如在离线隔离环境中进行操作,以避免潜在的风险。
根据泄露文档和《环球邮报》、《标准报》等媒体的报道,积至公司开发并提供的审查与监控产品功能异常强大且多样化,服务对象不仅包括中国国内的政府机构和互联网服务提供商(ISP),还延伸至全球多个国家。其技术核心产品——“天狗安全网关”(TSG),能够实现对用户位置和网络访问历史的追踪,对特定服务和“翻墙”工具进行封锁,实施实时在线监控,甚至可以针对特定区域进行网络限速或断网。此外,积至的技术还包括通过分析在线痕迹来识别匿名用户,对VPN等工具进行逆向工程以寻找封锁方法,在HTTP会话中注入恶意代码,以及发起DDoS流量攻击。
积至公司的全球业务版图,尤其是在中国的“一带一路”倡议框架下的扩张,引起了国际社会的广泛关注。泄露文件显示,该公司已向缅甸、巴基斯坦、埃塞俄比亚、哈萨克斯坦等国家输出其审查和监控技术。例如,哈萨克斯坦早在2018年就成为其TSG产品的早期客户。在巴基斯坦,积至公司甚至接替了在此前遭受争议的Sandvine公司,利用其现有设备部署了积至的新系统。文章还提到,积至的招聘广告曾暗示其业务范围可能还扩展至马来西亚、巴林、阿尔及利亚和印度。在国内,泄露文件也揭示了积至在新疆、江苏、福建等省份的部署情况,以及与当地政府的合作细节,例如2024年在新疆召开的会议中,曾讨论如何利用技术“打击翻墙工具”并建立“反恐先锋”分中心。
综上所述,此次泄露不仅是一次技术层面的揭秘,更是一次对全球网络自由和人权状况的深刻警示。泄露的文件详细展示了GFW背后的商业化运作和其如何通过技术输出,将网络审查和监控的模式复制到其他国家,这对国际社会、公民社会组织和人权倡导者来说,都是一个需要高度重视的议题。