FCC禁售外国路由器被批：1份文件暴露美国网络安全政策的荒唐

2025年3月，美国联邦通信委员会（FCC）一纸禁令，禁止授权销售外国制造的小型办公室/家庭办公室（SOHO）路由器。官方理由是"国家安全"——但佐治亚大学公共政策学院教授、互联网治理项目创始人米尔顿·穆勒（Milton Mueller）算了一笔账，发现这套逻辑里藏着一道裂缝。

禁令针对的是全球85%消费级路由器的供应链集中地，却放过了真正被黑客利用的漏洞。

穆勒在周六发布的分析中直截了当：这不是网络安全政策，是"披着网络安全外衣的产业政策"。

两条官方理由，哪条站得住脚？

FCC的禁令基于两个论证。第一条援引美国网络安全与基础设施安全局（CISA）及联邦调查局（FBI）的分析，称攻击者曾利用SOHO路由器组建僵尸网络，掩盖"伏特台风"（Volt Typhoon）和"盐台风"（Salt Typhoon）的入侵痕迹。

第二条依据商务部的一项研究：85%的消费级路由器供应链集中在中国，形成"系统性脆弱点"——单次固件更新就可能被武器化，瘫痪美国家庭互联网。

穆勒逐条拆解。

「数字经济是全球性的，」他指出，「一台'美国制造'的路由器，很可能运行着全球开发者维护的Linux内核，使用台湾编写的Wi-Fi驱动，整合世界各地管理的开源库。」

地理上的组装地点，与软件的逻辑供应链完全是两回事。一台美国组装但通用即插即用（UPnP）实现糟糕的路由器，和外国产品一样容易被劫持。

更关键的是，FCC担忧的"后门"从未在台风团伙的实战中出现。CISA和FBI的研究明确显示，攻击者利用的是未修补的漏洞、未更改的默认设备凭证，以及将部分网络端口暴露于公网的不良设计。

最荒唐的漏洞：禁令只卡新品，不管旧货

「FCC政策中最明显的逻辑缺失，是对新设备授权的独家关注，同时放任旧设备继续流通。」穆勒写道。

这个观察切中要害。台风团伙攻击的正是濒临淘汰的路由器，以及使用不安全遗留协议的设备。FCC的禁令却精准打击了最不该打击的对象。

Wi-Fi 7和Wi-Fi 8路由器被拒之门外，而这些新品恰恰配备了现代自动更新安全功能。与此同时，数百万台已被国家支持黑客组织盯上的老旧设备，拿到了"免死金牌"。

消费者面临的选择很现实：花更多钱买升级后的安全设备，或者——更可能的情况——继续用那台2019年的旧路由器。

「如果消费者因为2026年的型号被禁，无法轻松或负担得起地更换2019年的旧设备，美国的总攻击面实际上会增加。」

禁令瞄准的是最可能具备现代安全功能的设备，却给正被利用的不安全老旧设备开了绿灯。

"外国性"作为唯一标准，反而恶化安全

穆勒的结论是反直觉的：以"外国性"为唯一筛选标准，这项禁令"实际上恶化了安全局势"。

升级到现代、更安全硬件的激励被削弱，用户被鼓励继续使用未修补的遗留设备——而这正是国家支持行为者当前正在利用的硬件。

政策制定者似乎陷入了一种认知陷阱：将供应链的地理集中度等同于风险，却忽视了软件层面的真实脆弱点。当攻击者已经学会利用默认密码和过期固件时，纠结于组装工厂的经纬度坐标，更像是一种表演性的安全姿态。

一个值得追问的细节是：FCC在起草禁令时，是否评估过美国市场上遗留设备的实际保有量？如果数千万台旧路由器将继续服役数年，而新品渠道被人为收窄，这场"安全"政策的净效应究竟是减少还是扩大了被攻击面？