上周末，美國公民自由聯(lián)盟（ACLU）向國會監(jiān)督委員會發(fā)出緊急警告：埃隆·馬斯克領(lǐng)導(dǎo)的政府效率部（DOGE）已實質(zhì)性接管聯(lián)邦核心數(shù)據(jù)庫，包括財政部支付系統(tǒng)（管理6萬億美元資金流）、人事管理局（OPM）的2億份雇員檔案，以及連接國防反間諜安全局（DCSA）的安全許可信息。

ACLU稱此舉涉嫌違反《隱私法》《聯(lián)邦信息安全現(xiàn)代化法案》（FISMA）及憲法第四修正案，并準(zhǔn)備發(fā)起集體訴訟。

根據(jù)ACLU的公告，這場被民主黨議員稱為“數(shù)字政變”的行動，目前存在三大致命違規(guī)風(fēng)險：

• 權(quán)限越界：DOGE訪問的財政部系統(tǒng)涉及每年6萬億美元政府支付，涵蓋社保福利、薪資發(fā)放及小企業(yè)補助；OPM系統(tǒng)包含2億現(xiàn)任及前任聯(lián)邦雇員的隱私記錄，與國防反間諜安全局（DCSA）的安全審查數(shù)據(jù)直接聯(lián)通。DOGE作為外部咨詢委員會，法律上無權(quán)訪問敏感系統(tǒng)，甚至馬斯克本人也沒有訪問機密信息所需的安全許可；
• 人員失控：25歲前SpaceX工程師獲財政系統(tǒng)管理員權(quán)限，無安全審查記錄，DOGE團(tuán)隊中有員工曾在招聘攻擊性黑客的公司就業(yè)；
• 技術(shù)黑箱：DOGE在OPM私設(shè)未經(jīng)驗證的服務(wù)器，讓人聯(lián)想到2015年東大黑客入侵路徑。

六根安全合規(guī)紅線

ACLU認(rèn)為馬斯克同時觸碰了六根安全合規(guī)高壓紅線：

1.《隱私法》

財政部支付系統(tǒng)存儲全美1.2億社保受益人銀行賬號、1.5億納稅人信息及小企業(yè)補助數(shù)據(jù)。根據(jù)《隱私法》第552a條，未經(jīng)授權(quán)披露可觸發(fā)每人1000美元民事賠償，若涉及惡意濫用，DOGE或面臨萬億級集體訴訟。

2.FISMA

國家技術(shù)與標(biāo)準(zhǔn)研究院（NIST）的SP 800-53標(biāo)準(zhǔn)要求，聯(lián)邦系統(tǒng)訪問需滿足：

• 最小權(quán)限原則（僅必需人員可接觸）；
• 行為審計日志（所有操作可追溯）；
• 基礎(chǔ)設(shè)施認(rèn)證（硬件/軟件經(jīng)FIPS 140-2驗證）。

DOGE的OPM私有服務(wù)器跳過全部流程，致使系統(tǒng)安全等級從“高置信”降級為“不可信”。

3.HIPAA

DOGE推進(jìn)的GSAi聊天機器人計劃，若接入衛(wèi)生與公眾服務(wù)部（HHS）數(shù)據(jù)庫，將直接觸碰《健康保險流通與責(zé)任法案》（HIPAA）。未經(jīng)患者授權(quán)分析醫(yī)療數(shù)據(jù)，單次違規(guī)罰金可達(dá)5萬美元。

4.國家安全法

國防反間諜安全局（DCSA）的國會背景調(diào)查數(shù)據(jù)屬于“受控非密信息”（CUI）。根據(jù)《電子信息自由法》第552(b)(3)條，向無許可人員泄露CUI可構(gòu)成E級重罪，最高監(jiān)禁5年。

5.憲法第四修正案

ACLU指控DOGE的“數(shù)據(jù)清剿”構(gòu)成非法搜查。若最高法院認(rèn)定政府將公民數(shù)據(jù)作為“意識形態(tài)凈化工具”，可能援引2018年Carpenter v. United States判例，推翻特朗普行政令的合憲性。

6.電子政務(wù)法

根據(jù)美國《電子政務(wù)法》第五章，聯(lián)邦雇員向未經(jīng)許可者披露受控非密信息（CUI）可構(gòu)成E級重罪，最高面臨5年監(jiān)禁及25萬美元罰款；國家安全律師布拉德利·莫斯（Bradley Moss）強調(diào)：“任何聯(lián)邦雇員均無權(quán)僅憑DOGE徽章授予系統(tǒng)訪問權(quán)限，總統(tǒng)行政令不具備法律豁免效力。”

此外，ACLU已提交《信息自由法》（FOIA）請求，要求公開DOGE通信記錄及數(shù)據(jù)訪問細(xì)節(jié)，并稱將訴諸法律手段獲取文件。

DOGE行動的“系統(tǒng)性風(fēng)險”與“持續(xù)性數(shù)據(jù)泄露”

美國多位網(wǎng)絡(luò)安全專家及前政府雇員指出，DOGE的行動已實質(zhì)破壞聯(lián)邦系統(tǒng)安全架構(gòu)，可導(dǎo)致持續(xù)性數(shù)據(jù)泄露和嚴(yán)重的網(wǎng)絡(luò)安全/國家安全風(fēng)險：

1.權(quán)限失控

• 25歲前SpaceX員工獲財政部支付系統(tǒng)管理員權(quán)限，繞過聯(lián)邦雇員安全審查流程；
• OPM私設(shè)未經(jīng)驗證的服務(wù)器，復(fù)制了2015年東大黑客入侵路徑（該事件被視為史上最嚴(yán)重聯(lián)邦數(shù)據(jù)泄露之一）。

2.安全標(biāo)準(zhǔn)崩塌

• 違反NIST制定的聯(lián)邦系統(tǒng)安全控制標(biāo)準(zhǔn)（如SP 800-53），未實施最小權(quán)限原則與操作日志審計；
• 新服務(wù)器未通過FedRAMP認(rèn)證，導(dǎo)致系統(tǒng)信任等級從“高置信”降級為“不可信”。

3.跨機構(gòu)威脅

• OPM服務(wù)器直連DCSA背景審查系統(tǒng)，可能被用于篡改安全許可信息或制造外交危機；
• 多名拒絕配合DOGE的聯(lián)邦網(wǎng)絡(luò)安全雇員遭解雇或停職，導(dǎo)致財政部系統(tǒng)補丁延遲率從7天增至42天，未打補丁的舊系統(tǒng)漏洞暴露率激增300%，易被APT組織（如APT41、俄羅斯DarkSide）利用。
• 民主黨議員格里·康諾利（Gerry Connolly）與尚特爾·布朗（Shontel Brown）警告，OPM服務(wù)器漏洞可能引發(fā)針對聯(lián)邦雇員的精準(zhǔn)釣魚攻擊。

4.GSAi聊天機器人爭議

• DOGE在總務(wù)管理局（GSA）強行部署自研AI工具“GSAi”，替代原計劃的谷歌Gemini，因其拒絕提供雇員政治傾向分析功能；
• 該工具訓(xùn)練數(shù)據(jù)包含極右翼論壇內(nèi)容，可能加劇背景審查中的種族/性別偏見，且未按《算法問責(zé)法案》提交影響評估。

5.聯(lián)邦I(lǐng)T生態(tài)瓦解

• 美國數(shù)字服務(wù)局（USDS）47名工程師遭解雇，導(dǎo)致關(guān)鍵系統(tǒng)維護(hù)能力癱瘓；
• 亞馬遜AWS、微軟Azure暫停聯(lián)邦云服務(wù)合作，加劇技術(shù)供應(yīng)鏈風(fēng)險。

6.全球安全信任鏈斷裂

• 五眼聯(lián)盟成員國（英、加、澳）暫停與美共享敏感數(shù)據(jù)庫，啟動“去美國化”IT遷移；
• 歐盟援引《通用數(shù)據(jù)保護(hù)條例》（GDPR），禁止向DOGE相關(guān)實體傳輸公民數(shù)據(jù)。