思科IBM lobbying 砸了1亿修好的法，3页纸就想开倒车

科罗拉多州的维修权法案生效才两年，行业游说团体已经掏出了一份3页纸的修正案。这份文件如果通过，能让任何厂商只要声称自己的产品"用于关键基础设施"，就能自动豁免维修权义务。换句话说，一台卖给五角大楼的笔记本电脑，和同一型号卖给咖啡店的， suddenly 变成了两个法律世界的东西。

更荒诞的是，这个"关键基础设施"的定义权，完全交给厂商自己。

「如果一家笔记本厂商知道五角大楼采购了他们的产品，他们就能宣布整条产品线豁免。如果网络设备公司把20美元的交换机卖给联邦大楼，他们就能声称那是关键基础设施。」YouTube维修博主Louis Rossmann在周四的听证会上作证，「这是给厂商的一张空白支票。」

Rossmann的比喻很直白：这就像让狐狸自己决定哪些鸡舍需要上锁。

从"国家安全"到"厂商自救"

推动修正案的主要是思科、IBM等传统企业硬件厂商。他们的游说策略并不新鲜——过去十年，每当维修权立法推进，厂商就会搬出同一套剧本：维修权会迫使企业泄露专有信息，从而制造安全漏洞。

Consumer Technology Association（消费者技术协会）的代表在听证会上支持该法案。思科员工Joseph Lee也出庭作证，话没说完的记录显示他的核心论点是：并非所有数字技术设备都适用同一套维修规则。

但安全研究者的证词直接拆穿了这套叙事。

「当我们谈论关键基础设施和维修时，往往没时间等官方补丁。」非营利组织Elect More Hackers联合创始人Andrew Brandt作证，「小公司花光预算买了防火墙或路由器后修不起，结果就是继续运行不安全状态的设备，把自己暴露在攻击面前。」

Brandt描述的困境很具体：一台有漏洞的网络设备，厂商EOL（生命周期终止）后不再提供支持。按现行法律，第三方可以介入维修、提供固件更新。如果修正案通过，厂商一句"这是关键基础设施"就能锁死所有替代方案，用户只能要么买新机，要么裸奔。

讽刺的是，更快的维修响应恰恰降低安全风险——这恰恰是厂商声称要保护的东西。

数据中心的"经济焦虑"被 weaponized 了

游说团体的新话术很精明：他们反复强调数据中心是美国目前"唯一还能建的东西"。

这个观察本身没错。2023-2024年，数据中心建设占美国大型基建项目的比重确实畸高，AI算力需求把服务器、存储、网络设备的采购量推到了历史峰值。厂商的逻辑是：这么重要的东西，不能让随便什么人都能修。

但Rossmann在听证会上指出了概念的偷换。「关键基础设施」在联邦层面有明确定义——能源、水利、金融支付系统等16个sector。科罗拉多修正案的问题在于，它把这个概念无限泛化，最终变成厂商的自选菜单。

一个20美元的交换机，因为卖给了联邦大楼，就能和电网调度系统享受同等的法律豁免。这种膨胀不是保护基础设施，是保护利润结构。

维修权运动的核心诉求一直很具体：厂商必须提供零件、工具、诊断软件和维修手册。这些要求不触及设计机密，只关乎设备坏掉后能不能修、谁来修、花多少钱修。

厂商抵抗了十年，发现"安全威胁"的叙事逐渐失效后，现在转向了地理套利——在已经立法的州推动修正案，比阻止新州立法更容易。

科罗拉多是2021年通过维修权法案的，覆盖范围包括轮椅、农机、消费电子和部分企业设备。这次修正案如果通过，将创造美国首个"维修权但关键基础设施除外"的法律模板，其他州很可能复制。

小公司的真实困境被消音了

Brandt的证词里有一个细节值得停留：他提到的是"小公司"的困境，而不是抽象的消费者。

这指向了维修权讨论中常被忽略的一层。企业级硬件的买家不是个人，是IT部门、是预算紧张的地方政府、是刚拿到A轮的创业公司。他们的共同点是：没有议价能力要求厂商延长支持周期，也没有资源自建维修团队。

当一台5年前采购的防火墙出现漏洞，厂商已经停更，第三方维修商可以提供替代方案——这是现行法律保障的。修正案通过后，厂商只需要声明该产品用于"关键基础设施"，就能合法锁死所有替代维修渠道。

买家被迫进入二元选择：采购新设备，或承担安全风险。这正是Brandt所说的"不安全状态运行"的强制化。

游说团体的安全叙事，实际上制造了更多不安全。

更隐蔽的影响在于市场结构的固化。

如果维修权被"关键基础设施"条款架空，企业采购决策会被扭曲。买家会倾向于选择那些"永远不会被认定为关键基础设施"的设备，以保留维修选择权；或者被迫接受厂商的捆绑服务合约，把设备全生命周期锁死在单一供应商手里。

这不是理论推演。思科、IBM等厂商的服务收入占比在过去十年持续上升，硬件利润率压缩后，"卖服务"成为核心商业模式。维修权的法律限制，直接转化为服务合约的议价筹码。

科罗拉多正在成为测试场

该修正案周四已通过州参议院委员会，进入后续立法程序。它的命运将影响远超一个州。

美国目前有7个州通过全面的维修权法律，科罗拉多是其中对企业设备覆盖最广的之一。如果这里的 rollback 成功，厂商将获得可复制的 playbook：在已立法州推动"关键基础设施"豁免，在新州立法时争取更窄的覆盖范围。

Rossmann和Brandt的证词结构很有意思——他们都没有否定"关键基础设施需要特殊保护"这个前提，而是攻击定义的宽泛性和自指性。这是一种务实的策略：在对方选定的战场上拆解对方的武器。

但听证会的权力结构并不对等。厂商游说团体有专职立法事务团队，有行业协会的背书，有"国家安全"的话语权重。维修权倡导者依赖的是个人声誉（Rossmann的YouTube频道有200万订阅）和非营利组织的志愿参与。

Brandt的Elect More Hackers是一个新成立的组织，核心目标是推动更多有技术背景的人进入公共政策领域。他的证词本身就是在实践这个使命。

这场较量的不对称性，也是科技政策讨论的常态。

修正案的支持者在听证会上没有回答一个具体问题：如果"关键基础设施"的认定需要客观标准，为什么要把定义权交给厂商自己？

这个沉默很关键。因为任何客观标准——比如联邦网络安全局的清单、行业认证要求、采购合同条款——都会限制厂商的操作空间。只有把定义权私有化，才能实现真正的"灵活"。

这种灵活的代价，由设备买家和最终用户承担。

科罗拉多州的立法者接下来需要决定：他们2019年开始推动、2021年通过的维修权法律，是否值得为"数据中心经济"的焦虑让路。这个决定的先例效应，会被其他州仔细研究。

如果3页纸的修正案能抵消数年的 advocacy 努力，维修权运动的下一个战场可能不再是争取新立法，而是防守已取得的阵地——这从来都是更消耗资源的战争。

Brandt在证词结尾说了一句话，没有被任何媒体报道引用：「我们不是在讨论要不要保护关键基础设施，而是在讨论谁来决定什么是关键基础设施，以及这个决定能不能被挑战。」

这个程序问题，比任何安全叙事都更接近事情的本质。科罗拉多的立法者会怎么选——是让厂商自己填这张空白支票，还是把定义权留在公共领域？