微软暗藏后门，只针对中国用户，意欲何为？

文 | 蓝媒汇，作者 | 叶二，编辑 | 魏晓

当用户反复将默认浏览器改为国产软件，却总在系统更新后被强制跳转回微软 Edge；当设计师精心配置的图片查看器关联，被莫名重置导致创作流程中断——这并非简单的 “系统 bug”，而是微软通过隐藏组件布下的 “数据陷阱”。

日前，微软以 “保护用户选择” 为名，在 Windows 系统中植入的 “隐形后门” 正在持续发酵。

这不仅针对性威胁国内用户的数据安全，更通过打压 360安全卫士等国产安全软件扫清 “障碍”，一场关乎个人隐私、企业机密的安全危机，或许正悄然逼近。

隐秘且只针对中国用户的“后门”

英伟达H20风波还未远去，微软又被曝光其在华产品留有后门。

市场消息显示，此前，微软UCPD驱动在Windows系统上线。根据微软介绍，UCPD驱动全称为User Choice Protection Driver，即用户选择保护驱动，用于防止恶意软件随意更改默认浏览器或文件打开方式。

表面上这似乎是一个利用户体验、保护设置的小功能，但却被国内的技术专家发现，微软UCPD以安全为名，在用户电脑中埋下了隐秘后门，以此在用户并不知情的情况下，“掌控”了用户设备。

通过技术追踪显示，从 Windows 11 的 UCPD.sys v4.4 版本来看，该组件通过深层注册表写入加密数据，限制非微软签名软件的操作权限。

体现在用户端，原本用户设定通过特定浏览器打开下载链接以提升下载速度或管理下载任务，却因 UCPD.sys 干扰，被强制跳转至 Edge 浏览器，导致下载效率降低，甚至因浏览器不兼容某些下载协议，出现下载失败的情况。当用户手动修改默认浏览器、PDF 阅读器等设置后，只要系统更新或重启，配置就会被强制 “复原”。

此外据了解，在UCPD的代码中，还发现了doc、xls 等常用的文件格式，这意味着在未来有可能，用户在使用日常办公软件上，会被强制性绑定 Office软件。

换句话说，它像木马一样，利用注册表当作仓库，在暗中释放程序。这已经超出了“保护默认设置”的范畴，就是一个潜伏的后门。

微软不仅通过技术手段垄断国内用户的 “数据入口”，强制性要求用户使用微软的浏览器，这涉嫌侵犯国内用户选择权。更令人震惊的是，微软此举仅针对中国用户，涉嫌地域歧视。

UCPD.sys 代码中明确包含 “区域检测逻辑”：当系统检测到用户位于中国大陆、香港、澳门或台湾地区时，会自动激活数据收集与上报机制；而欧盟用户则完全不受该机制影响，甚至能依据《数字市场法》（DMA）自由卸载 Edge、禁用必应搜索，享受 “公平模式”。

（图源：微软欧盟官方博客的说明）

这意味着，全世界的用户用着同一个系统，但只有中国用户的电脑被特别“关照”。就像一栋大楼里，所有人家门口都装了防盗锁，唯独中国用户的门被偷偷留了一条缝，这让数据泄露风险直线攀升。

定向狙杀中国安全软件

同时要知道，微软的UCPD是以官方系统自带的身份，对国内用户执行了高度隐蔽的后门式操作。大多数国内用户不仅无法选择，甚至是不知情的。

这直接加剧了信息泄露的风险，对国内用户数据安全造成严重威胁。

对于个人用户，这意味着你的应用使用习惯、文档处理记录、企业软件选择，可能早已被系统性采集。对于政企与科研机构而言，风险更加严峻。中国数以千万计的终端运行在 Windows 平台上，如果 UCPD.sys 这样的组件被恶意利用，它可能成为境外攻击者渗透关键信息基础设施的突破口。

更让人担忧的是，除去随时可被接管的用户电脑，UCPD还在偷偷狙杀中国安全软件企业，踹开了用户安全的最后一道门。

一个事实是，大多数的国产安全软件，如360安全卫士等都具备阻止UCPD.SYS违背用户意愿，篡改注册表行的能力，是阻止微软 “后门操作” 的关键屏障。

但微软却直接将这些国产安全企业列入 “黑名单”，通过 UCPD.sys 实施系统性打压。

从曝光的代码数据来看，微软的 “禁止名单” 几乎覆盖了国内的主流安全软件，像奇虎 360、金山等均被精准标记。只要这些安全软件试图修改系统默认设置或拦截可疑操作，UCPD.sys 就会弹出 “拒绝访问” 提示，甚至通过 Windows Defender 阻止其安装与运行。

被狙杀的中国安全软件和其他企业

这种 “釜底抽薪” 的操作，导致国内用户陷入 “双重困境”：一方面，微软通过 “后门” 不断渗透设备，收集浏览记录、文档内容、软件使用习惯等数据；另一方面，本应守护安全的国产安全软件被限制功能，用户相当于失去了 “数字防盗门”，只能被动暴露在数据泄露风险中。

别让 “官方后门” 掏空数据安全

事实上，微软系统 “留后门” 并非首次，过往案例早已证明其对数据安全的巨大威胁，且攻击目标多次直指中国关键领域。

2025 年哈尔滨亚冬会期间，美国 NSA（国家安全局）利用 Windows 系统后门，对我国能源、交通、通信等关键设施发起 27 万次攻击，若成功渗透，赛事信息系统乃至城市运行网络都可能瘫痪；2024 年曝光的 “BITSLOTH” 后门，更是能偷偷记录键盘输入、截屏电脑屏幕，其代码中包含的中文日志，直接暴露了 “针对中国用户” 的意图；2019 年的 “SockDetour” 后门，则在服务器中潜伏两年半，通过劫持系统程序悄悄传输数据，成为境外势力窃取商业机密的 “隐形通道”。

也不只是微软一家，存在“后门”。

今年8月，国家互联网信息办公室就 英伟达H20 算力芯片漏洞后门安全风险约谈英伟达公司，要求其在指定期限内作出详细说明并提交相关证明材料。

等等此类。当微软等国外科技巨头通过 “后门” 掌控用户设备的数据入口后，个人的聊天记录、企业的合同底价、科研机构的技术参数，都可能被实时截获。尤其对国内用户而言，UCPD.sys 的定向数据收集，相当于将 “数据保险箱” 的钥匙主动交给了境外势力，从个人隐私到国家核心信息，都面临被 “搬运” 的风险。

这些案例多印证了一个事实：不能再单纯把国际巨头的产品视为“绝对安全”，更需要独立的验证和监督机制。对于个人用户，这关乎隐私安全；对于国家而言，这关系到信息主权与安全防线。